Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\nci] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\nci] 'ImagePath' = '"%WINDIR%\SysWOW64\odbcad32\nci.exe"'
Создает следующие сервисы
- 'nci' "%WINDIR%\SysWOW64\odbcad32\nci.exe"
- 'nci' %WINDIR%\SysWOW64\odbcad32\nci.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABXAFEAUABWAEwAawBhAGEAPQAnAFkAUQBBAEkAWQB0AGYAcQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAEUAYABDAHUAUgBpAGAAVAB5AFAAUgBgAE8AYABUAGAATwBDAG8ATAAiAC...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\96.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\odbcad32\nci.exe
Перемещает следующие файлы
- %HOMEPATH%\96.exe в %WINDIR%\syswow64\odbcad32\nci.exe
Сетевая активность
Подключается к
- '17#.#02.48.180':80
- '19#.#10.135.126':8080
- '67.##5.85.243':8080
TCP
Запросы HTTP GET
- http://gr####acro.com.br/language/d_6_vd/
- http://ha#####umbing.com.au/images/bxe9u_i_n3y/
- http://vp###t.com.br/wp-content/8umw_pdh_v61/
- http://li####ggiodisole.it/cgi-bin/f6q_kn_tqwx/
Запросы HTTP POST
- http://67.###.85.243:8080/NxJuPKkHc/lzJJv/ via 67.##5.85.243
UDP
- DNS ASK gr####acro.com.br
- DNS ASK ha#####umbing.com.au
- DNS ASK vp###t.com.br
- DNS ASK li####ggiodisole.it
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\96.exe'
- '%WINDIR%\syswow64\odbcad32\nci.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABXAFEAUABWAEwAawBhAGEAPQAnAFkAUQBBAEkAWQB0AGYAcQAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBTAEUAYABDAHUAUgBpAGAAVAB5AFAAUgBgAE8AYABUAGAATwBDAG8ATAAiAC...' (со скрытым окном)
