Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ljJYOghf] 'DllName' = 'ljJYOghf.dll'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ljJYOghf] 'Logon' = 'o'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] '{38B9D19D-021A-4282-A2BD-F9E40DCBA8C9}' = ''
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'mpt' = '<SYSTEM32>\mpt.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'kek' = '<SYSTEM32>\kek.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\mpxa.exe' = '<SYSTEM32>\mpxa.exe:*:Enabled:mpxa'
Создает и запускает на исполнение:
- <SYSTEM32>\cheeto.exe 9750 9750
- <SYSTEM32>\mpxa.exe -p9750 -a -t -d
- %TEMP%\s1265.php
- %TEMP%\sfsrv.exe
- %TEMP%\MediaTubeCodec_ver1.1504.0.exe
- %TEMP%\mpxpass.exe
- <SYSTEM32>\kek.exe
- %TEMP%\payload.exe
- %TEMP%\s1265.php (загружен из сети Интернет)
- %TEMP%\sfsrv.exe (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c %TEMP%\s1265.php.bat
- <SYSTEM32>\cmd.exe /c %TEMP%\sfsrv.exe.bat
- <SYSTEM32>\cmd.exe /c %TEMP%\removalfile.bat "%TEMP%\payload.exe"
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\winlogon.exe
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '{A8A88C49-5EB2-4990-A1A2-0876022C854F}' = ''
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1A10' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '{AEBA21FA-782A-4A90-978D-B72164C80120}' = ''
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\sfsrv.exe
- %TEMP%\s1265.php.bat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\4683lt[1].exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\confirm[1].php
- %TEMP%\sfsrv.exe.bat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\s1265[1].php
- %TEMP%\nsa5.tmp\InetLoad.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\ho[1].php
- <SYSTEM32>\a
- %TEMP%\s1265.php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\s1265[1].php
- <SYSTEM32>\kek.exe
- <SYSTEM32>\mpxa.exe
- %TEMP%\payload.exe
- %TEMP%\mpxpass.exe
- %TEMP%\MediaTubeCodec_ver1.1504.0.exe
- <SYSTEM32>\mpt.exe
- <SYSTEM32>\byXRjkIb.dll
- %TEMP%\removalfile.bat
- <SYSTEM32>\ljJYOghf.dll
- <SYSTEM32>\cheeto.exe
- %HOMEPATH%\Cookies\%USERNAME%@wmvmedialease[1].txt
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\s1265[1].php
- <SYSTEM32>\a
- %TEMP%\MediaTubeCodec_ver1.1504.0.exe
- %TEMP%\payload.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\confirm[1].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\s1265[1].php
Сетевая активность:
Подключается к:
- 'ba####udaserver.com':80
- 'vi####ecright2.com':80
- 'el##tan.com':80
- '91.##3.92.25':80
- '64.##7.39.247':80
- '23#.#55.255.250':1900
- '<IP-адрес в локальной сети>':80
TCP:
Запросы HTTP GET:
- vi####ecright2.com/s1265.php
- el##tan.com/monstertruck.php
- el##tan.com/ho.php
- ba####udaserver.com/bd/rDefPass.txt
- 64.##7.39.247/confirm.php?ai#############################################
- <IP-адрес в локальной сети>/
- 91.##3.92.25/hvha/4683lt.exe
UDP:
- DNS ASK www.el##tan.com
- DNS ASK el##tan.com
- DNS ASK vi####ecright2.com
- DNS ASK ba####udaserver.com
- '23#.#55.255.250':1900
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
