Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Ehleocve' = 'regsvr32.exe /s %APPDATA%\Apnue\xouha.dll'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\rundll32.exe' HZLPoPa.dll,DllRegisterServer
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\msiexec.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\Microsoft\Internet Account Manager\Accounts]
- [<HKLM>\Software\Microsoft\Internet Account Manager]
- [<HKCU>\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts]
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings]
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
Изменения в файловой системе
Создает следующие файлы
- C:\msdownld.tmp\as105239.tmp\tsk.dll
- %TEMP%\obilusaq.tmp
- %TEMP%\wiahoqh.tmp
- %TEMP%\syzoov.tmp
- %TEMP%\aqnikia.tmp
- %TEMP%\gumav.tmp
- %TEMP%\exaxhaf.tmp
- %TEMP%\wasyseus.tmp
- %TEMP%\eduxaco.tmp
- %TEMP%\amuqi.tmp
- %TEMP%\paxode.tmp
- %TEMP%\uzixife.tmp
- %TEMP%\heiw.tmp
- %TEMP%\umilogci.tmp
- %APPDATA%\yqvi\oqofx.cia
- %TEMP%\niiqot.tmp
- %TEMP%\qidi.tmp
- %TEMP%\tatiy.tmp
- %TEMP%\sovufiop.tmp
- %TEMP%\upryik.tmp
- %APPDATA%\apnue\xouha.dll
- %APPDATA%\muzix\qozixe.ysame
- %APPDATA%\idgupe\yduz.ipbe
- %APPDATA%\evyr\otubta.dupuo
- %APPDATA%\awku\deet.yxacy
- %APPDATA%\giip\ulyl.wybyp
- %APPDATA%\vywa\ofis.im
- %TEMP%\ekab.tmp
- %TEMP%\wyriunoh.tmp
- %TEMP%\saihq.tmp-shm
- %TEMP%\edeh.tmp
- %TEMP%\iqcyafq.tmp
- %TEMP%\wacyymi.tmp
- %TEMP%\wyow.tmp
- %TEMP%\ebwawear.tmp
- %HOMEPATH%\documents\hzlpopa.dll
- %TEMP%\saihq.tmp
- %APPDATA%\idgupe\yduz.tmp
Удаляет следующие файлы
- C:\msdownld.tmp\as105239.tmp\tsk.dll
- %TEMP%\heiw.tmp
- %TEMP%\uzixife.tmp
- %TEMP%\paxode.tmp
- %TEMP%\amuqi.tmp
- %TEMP%\ekab.tmp
- %TEMP%\eduxaco.tmp
- %TEMP%\exaxhaf.tmp
- %TEMP%\gumav.tmp
- %TEMP%\aqnikia.tmp
- %TEMP%\syzoov.tmp
- %TEMP%\wiahoqh.tmp
- %TEMP%\obilusaq.tmp
- %TEMP%\umilogci.tmp
- %TEMP%\qidi.tmp
- %TEMP%\tatiy.tmp
- %TEMP%\sovufiop.tmp
- %TEMP%\upryik.tmp
- %TEMP%\ebwawear.tmp
- %TEMP%\wyow.tmp
- %TEMP%\wacyymi.tmp
- %TEMP%\iqcyafq.tmp
- %TEMP%\edeh.tmp
- %TEMP%\saihq.tmp
- %TEMP%\saihq.tmp-shm
- %TEMP%\wasyseus.tmp
- %TEMP%\wyriunoh.tmp
- %TEMP%\niiqot.tmp
- %APPDATA%\idgupe\yduz.tmp
Перемещает следующие файлы
- %APPDATA%\idgupe\yduz.ipbe в %APPDATA%\idgupe\yduz.tmp
Сетевая активность
Подключается к
- 'mi###anttra.at':443
TCP
Запросы HTTP GET
- http://oc##.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQwF4prw9S7mCbCEHD%2Fyl6nWPkczAQUe1tFz6%2FOy3r9MZIaarbzRutXSFACEEeXTXhzpbyrDS%2BzcBkvzl4%3D
UDP
- DNS ASK de###rena.at
- DNS ASK oc##.thawte.com
- DNS ASK mi###anttra.at
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\rundll32.exe' HZLPoPa.dll,DllRegisterServer' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ipconfig /all' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c net config workstation' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c net view /all' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c net view /all /domain' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\msiexec.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ipconfig /all
- '%WINDIR%\syswow64\ipconfig.exe' /all
- '%WINDIR%\syswow64\cmd.exe' /c net config workstation
- '%WINDIR%\syswow64\net.exe' config workstation
- '%WINDIR%\syswow64\net1.exe' config workstation
- '%WINDIR%\syswow64\cmd.exe' /c net view /all
- '%WINDIR%\syswow64\net.exe' view /all
- '%WINDIR%\syswow64\cmd.exe' /c net view /all /domain
- '%WINDIR%\syswow64\net.exe' view /all /domain
