Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\KBDYCL] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\KBDYCL] 'ImagePath' = '"%WINDIR%\SysWOW64\NlsModels0011\KBDYCL.exe"'
Создает следующие сервисы
- 'KBDYCL' "%WINDIR%\SysWOW64\NlsModels0011\KBDYCL.exe"
- 'KBDYCL' %WINDIR%\SysWOW64\NlsModels0011\KBDYCL.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABTAFIAQgBGAEcAYQBtAG0APQAnAE8ARABNAEsAWQBzAHcAYgAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBzAGUAQwB1AHIAYABJAGAAVABZAFAAYABSAG8AdABPAGAAQwBPAEwAIgAgAD...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\309.exe
Перемещает следующие файлы
- %HOMEPATH%\309.exe в %WINDIR%\syswow64\nlsmodels0011\kbdycl.exe
Сетевая активность
Подключается к
- '21#.#56.133.218':80
- '81.##.93.134':80
TCP
Запросы HTTP GET
- http://kr#####urtransfer.com/QStk/
- http://le######riephotography.com/wp-admin/wQA0hhqk1b394/
Запросы HTTP POST
- http://18#.##.148.68:443/bfRg4Af8qBfzs/o1hiyoD1Kh9h/MqAknkcwHK0/18xZR/6MDVqGy/Apm03/ via 18#.#6.148.68
- http://37.##.131.107/CNofPS3qEZEsfN/3OCuA7gTgHaQ/xMcxMXH2zFvi8I/lOBGIET2uFP/3Q45scN2VXYlVVxst0j/
UDP
- DNS ASK kr#####urtransfer.com
- DNS ASK le######riephotography.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\309.exe'
- '%WINDIR%\syswow64\nlsmodels0011\kbdycl.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABTAFIAQgBGAEcAYQBtAG0APQAnAE8ARABNAEsAWQBzAHcAYgAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBzAGUAQwB1AHIAYABJAGAAVABZAFAAYABSAG8AdABPAGAAQwBPAEwAIgAgAD...' (со скрытым окном)
