Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\radardt] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\radardt] 'ImagePath' = '"%WINDIR%\SysWOW64\odbccu32\radardt.exe"'
Создает следующие сервисы
- 'radardt' "%WINDIR%\SysWOW64\odbccu32\radardt.exe"
- 'radardt' %WINDIR%\SysWOW64\odbccu32\radardt.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABQAHkAbAA4ADIAeQBzAD0AKAAnAEUAbgAnACsAKAAnAHoANwAnACsAJwBpADEAdQAnACkAKQA7AC4AKAAnAG4AZQB3ACcAKwAnAC0AaQB0AGUAJwArACcAbQAnACkAIAAkAEUATgB2ADoAVABFAG0AUABcAHcAbwBSAEQAXAAyADAAMQA5AFwAIAAtAG...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\word\2019\hvxgr8gx7.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\odbccu32\radardt.exe
Перемещает следующие файлы
- %TEMP%\word\2019\hvxgr8gx7.exe в %WINDIR%\syswow64\odbccu32\radardt.exe
Сетевая активность
Подключается к
- '11#.#10.236.121':8080
- '14#.#02.5.139':443
- '15#.92.4.96':8080
- '51.##.163.68':7080
TCP
Запросы HTTP GET
- http://ga######reenscreen.co.uk/wp-content/attach/NHIazkHqI/
Запросы HTTP POST
- http://51.##.163.68:7080/IClChalX6kwBEau/qnYZl0ErmyouMgNfRh/BjIlxHQKPJz5yhIcUyX/tRDaNDyWqN66YKHg4/ via 51.##.163.68
UDP
- DNS ASK ga######reenscreen.co.uk
Другое
Создает и запускает на исполнение
- '%TEMP%\word\2019\hvxgr8gx7.exe'
- '%WINDIR%\syswow64\odbccu32\radardt.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABQAHkAbAA4ADIAeQBzAD0AKAAnAEUAbgAnACsAKAAnAHoANwAnACsAJwBpADEAdQAnACkAKQA7AC4AKAAnAG4AZQB3ACcAKwAnAC0AaQB0AGUAJwArACcAbQAnACkAIAAkAEUATgB2ADoAVABFAG0AUABcAHcAbwBSAEQAXAAyADAAMQA5AFwAIAAtAG...' (со скрытым окном)
