Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\pid] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\pid] 'ImagePath' = '"%WINDIR%\SysWOW64\dswave\pid.exe"'
Создает следующие сервисы
- 'pid' "%WINDIR%\SysWOW64\dswave\pid.exe"
- 'pid' %WINDIR%\SysWOW64\dswave\pid.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABJAHEAYQBqAG0AcAB5AD0AKAAoACcAVgAnACsAJwBiAHkAdgAnACkAKwAnAHgAJwArACcAagB6ACcAKQA7ACYAKAAnAG4AZQB3ACcAKwAnAC0AJwArACcAaQB0AGUAbQAnACkAIAAkAEUATgB2ADoAVQBTAGUAcgBQAHIAbwBmAEkATABlAFwAZABJAG...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\diar8h7\off1fey\j_eilb.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\dswave\pid.exe
Перемещает следующие файлы
- %HOMEPATH%\diar8h7\off1fey\j_eilb.exe в %WINDIR%\syswow64\dswave\pid.exe
Сетевая активность
Подключается к
- '75.#0.124.4':80
TCP
Запросы HTTP GET
- http://cr#.#ectigo.com/SectigoRSADomainValidationSecureServerCA.crt
- http://ma####awildlife.com/wp-admin/zuWZW/
Запросы HTTP POST
- http://75.#0.124.4/b5T0RDLmz8xBBa7/9DMgSYI/
UDP
- DNS ASK te####tejson.com
- DNS ASK ho#####.mybestheme.com
- DNS ASK ta####2plate.com
- DNS ASK cr#.#ectigo.com
- DNS ASK ma####awildlife.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\diar8h7\off1fey\j_eilb.exe'
- '%WINDIR%\syswow64\dswave\pid.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e JABJAHEAYQBqAG0AcAB5AD0AKAAoACcAVgAnACsAJwBiAHkAdgAnACkAKwAnAHgAJwArACcAagB6ACcAKQA7ACYAKAAnAG4AZQB3ACcAKwAnAC0AJwArACcAaQB0AGUAbQAnACkAIAAkAEUATgB2ADoAVQBTAGUAcgBQAHIAbwBmAEkATABlAFwAZABJAG...' (со скрытым окном)
