Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\wshirda] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\wshirda] 'ImagePath' = '"%WINDIR%\SysWOW64\net1\wshirda.exe"'
Создает следующие сервисы
- 'wshirda' "%WINDIR%\SysWOW64\net1\wshirda.exe"
- 'wshirda' %WINDIR%\SysWOW64\net1\wshirda.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD JABNAHYAbQA5AHgAZABwAD0AKAAoACcARwB2AHkANgAnACsAJwB0ACcAKwAnAF8AJwApACsAJwA4ACcAKQA7AC4AKAAnAG4AZQB3AC0AaQAnACsAJwB0AGUAbQAnACkAIAAkAGUATgB2ADoAVQBzAEUAUgBwAHIATwBGAGkATA...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\t4yyer8\hj_mfzv\onj2qmzt.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\net1\wshirda.exe
Перемещает следующие файлы
- %HOMEPATH%\t4yyer8\hj_mfzv\onj2qmzt.exe в %WINDIR%\syswow64\net1\wshirda.exe
Сетевая активность
Подключается к
- '10#.#93.103.61':80
- '10#.#31.123.136':443
TCP
Запросы HTTP GET
- http://ed#.##svclass.com/wp-includes/sZmjSq/
- http://da####essing.net/e4wftkpn/KNAO9/
- http://tr#####consulting.com/wp-admin/EEoF/
- http://de####astore.com/wp-content/9J56juA/
Запросы HTTP POST
- http://10#.##1.123.136:443/VhDeZ8tS/ via 10#.#31.123.136
UDP
- DNS ASK ed#.##svclass.com
- DNS ASK da####essing.net
- DNS ASK tr#####consulting.com
- DNS ASK de####astore.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\t4yyer8\hj_mfzv\onj2qmzt.exe'
- '%WINDIR%\syswow64\net1\wshirda.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD JABNAHYAbQA5AHgAZABwAD0AKAAoACcARwB2AHkANgAnACsAJwB0ACcAKwAnAF8AJwApACsAJwA4ACcAKQA7AC4AKAAnAG4AZQB3AC0AaQAnACsAJwB0AGUAbQAnACkAIAAkAGUATgB2ADoAVQBzAEUAUgBwAHIATwBGAGkATA...' (со скрытым окном)
