Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\khtjudkj] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\khtjudkj] 'ImagePath' = '%WINDIR%\SysWOW64\khtjudkj\fesuifgy.exe /d"<Полный путь к файлу>"'
- [<HKLM>\SYSTEM\CurrentControlSet\services\khtjudkj] 'ImagePath' = '%WINDIR%\SysWOW64\khtjudkj\fesuifgy.exe'
Создает следующие сервисы
- 'khtjudkj' %WINDIR%\SysWOW64\khtjudkj\fesuifgy.exe /d"<Полный путь к файлу>"
- 'khtjudkj' %WINDIR%\SysWOW64\khtjudkj\fesuifgy.exe
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса с помощью следующих ключей реестра::
- [<HKLM>\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths] '%WINDIR%\SysWOW64\khtjudkj' = '00000000'
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="%WINDIR%\SysWOW64\svchost.exe" enable=yes>nul
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\fesuifgy.exe
- %WINDIR%\syswow64\config\systemprofile:.repos
Перемещает следующие файлы
- %TEMP%\fesuifgy.exe в %WINDIR%\syswow64\khtjudkj\fesuifgy.exe
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://www.google.com/
UDP
- DNS ASK mi##########m.mail.protection.outlook.com
- DNS ASK 19#.###.211.95.in-addr.arpa
- DNS ASK 19#.###.#11.95.dnsbl.sorbs.net
- DNS ASK 19#.###.#11.95.bl.spamcop.net
- DNS ASK 19#.###.#11.95.zen.spamhaus.org
- DNS ASK 19#.###.##1.95.sbl-xbl.spamhaus.org
- DNS ASK ms#.##ol.gntl.co.uk
- DNS ASK 19#.###.#11.95.cbl.abuseat.org
- DNS ASK google.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\khtjudkj\fesuifgy.exe' /d"<Полный путь к файлу>"
- '%WINDIR%\syswow64\cmd.exe' /C mkdir %WINDIR%\SysWOW64\khtjudkj\' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C move /Y "%TEMP%\fesuifgy.exe" %WINDIR%\SysWOW64\khtjudkj\' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' create khtjudkj binPath= "%WINDIR%\SysWOW64\khtjudkj\fesuifgy.exe /d\"<Полный путь к файлу>\"" type= own start= auto DisplayName= "wifi support"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' description khtjudkj "wifi internet conection"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' start khtjudkj' (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="%WINDIR%\SysWOW64\svchost.exe" enable=yes>nul' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C mkdir %WINDIR%\SysWOW64\khtjudkj\
- '%WINDIR%\syswow64\cmd.exe' /C move /Y "%TEMP%\fesuifgy.exe" %WINDIR%\SysWOW64\khtjudkj\
- '%WINDIR%\syswow64\sc.exe' create khtjudkj binPath= "%WINDIR%\SysWOW64\khtjudkj\fesuifgy.exe /d\"<Полный путь к файлу>\"" type= own start= auto DisplayName= "wifi support"
- '%WINDIR%\syswow64\sc.exe' description khtjudkj "wifi internet conection"
- '%WINDIR%\syswow64\sc.exe' start khtjudkj
- '%WINDIR%\syswow64\svchost.exe'
- '%WINDIR%\syswow64\svchost.exe' -o msr.pool.gntl.co.uk:40005 -u 5qZ5atUw8pcCBWAXgMv6YiGMTeaVjFHoG2UAPWFKVFFsUvvWXKTTHPH5z97QVpSJW6jh98jzGzxpnR7XKbBjaYp94j4VRqx+60000 -p x -k
