Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'Google Updater 2.0' = '%PROGRAMDATA%\Google Updater 2.0\yy9333y7.exe'
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Google Updater 2.0' = '"%PROGRAMDATA%\Google Updater 2.0\yy9333y7.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe] 'Debugger' = 'fomvii.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'Google Updater 2.0' = '"%PROGRAMDATA%\Google Updater 2.0\yy9333y7.exe"'
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\SSDPSRV] 'Start' = '00000002'
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
- <SYSTEM32>\dwm.exe
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- a6qgvng.exe
- iexplore.exe
- firefox.exe
- excel.exe
- vbc.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль dnsapi.dll
- Процесс iexplore.exe, модуль dnsapi.dll
- Процесс firefox.exe, модуль nss3.dll
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\LinasFTP\Site Manager]
- [<HKCU>\Software\FlashPeak\BlazeFtp\Settings]
- [<HKCU>\Software\Ghisler\Total Commander]
- [<HKCU>\Software\Far\Plugins\FTP\Hosts]
- [<HKCU>\Software\Far2\Plugins\FTP\Hosts]
- [<HKCU>\Software\VanDyke\SecureFX]
- [<HKLM>\Software\Wow6432Node\NCH Software\Fling\Accounts]
- [<HKCU>\Software\NCH Software\Fling\Accounts]
- [<HKLM>\Software\Wow6432Node\NCH Software\ClassicFTP\FTPAccounts]
- [<HKCU>\Software\NCH Software\ClassicFTP\FTPAccounts]
- [<HKCU>\Software\SimonTatham\PuTTY\Sessions]
- [<HKLM>\Software\Wow6432Node\SimonTatham\PuTTY\Sessions]
- [<HKCU>\Software\Martin Prikryl]
- [<HKLM>\Software\Wow6432Node\Martin Prikryl]
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %APPDATA%\opera software\opera stable\login data
- %APPDATA%\thunderbird\profiles.ini
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: '', WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'OLLYDBG', WindowName: ''
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
- ClassName: 'TIdaWindow', WindowName: ''
Изменяет следующие настройки браузера Windows Internet Explorer
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '2500' = '00000003'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '2500' = '00000003'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '2500' = '00000003'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '2500' = '00000003'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\vbc.exe
- %PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\policy.vpol
- %PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\3ccd5499-87a8-4b10-a215-608888dd3b55.vsch
- %PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\2f1a6504-0641-44cf-8bb5-3612d865f2e5.vsch
- %LOCALAPPDATA%\microsoft\vault\4bf4c442-9b8a-41a0-b380-dd4a704ddb28\policy.vpol
- %APPDATA%\e6f983\35a09b.hdb
- %APPDATA%\e6f983\35a09b.lck
- %APPDATA%\a6qgvng.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\e6f983\35a09b.exe
- %PROGRAMDATA%\google updater 2.0\yy9333y7.exe
Удаляет следующие файлы
- %APPDATA%\e6f983\35a09b.lck
Перемещает следующие файлы
- %APPDATA%\vbc.exe в %APPDATA%\e6f983\35a09b.exe
- %APPDATA%\a6qgvng.exe в %PROGRAMDATA%\google updater 2.0\yy9333y7.exe
Подменяет следующие файлы
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-1960123792-2022915161-3775307078-1001\f58155b4b1d5a524ca0261c3ee99fb50_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
Сетевая активность
Подключается к
- 'xp###gistics.ga':80
TCP
Запросы HTTP GET
- http://we#############yhardstday1sofwareshoping.duckdns.org/webdoc/win32.exe
- http://xp###gistics.ga/SecuredDocuments2/azo2188F590.exeE??
- http://xp###gistics.ga/SecuredDocuments2/beta231E0110.exe??
- http://xp###gistics.ga/cryptd2/beta2_encrypted_31E0110.bin
- http://xp###gistics.ga/cryptd2/luky2_encrypted_DD28BAF.bin
Запросы HTTP POST
- http://xp###gistics.ga/beta2/logout.php
UDP
- DNS ASK we#############yhardstday1sofwareshoping.duckdns.org
- DNS ASK xp###gistics.ga
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'GMER'
- ClassName: '' WindowName: 'Monitoring - API Monitor v2 32-bit'
Создает и запускает на исполнение
- '%APPDATA%\a6qgvng.exe'
- '%APPDATA%\a6qgvng.exe' ' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\explorer.exe'
