Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\ntoskrnl] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\ntoskrnl] 'ImagePath' = '"%WINDIR%\SysWOW64\mfdvdec\ntoskrnl.exe"'
Создает следующие сервисы
- 'ntoskrnl' "%WINDIR%\SysWOW64\mfdvdec\ntoskrnl.exe"
- 'ntoskrnl' %WINDIR%\SysWOW64\mfdvdec\ntoskrnl.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD JABGAG0AZAA2AF8AZQBiAD0AKAAnAFAAJwArACgAJwB3AGUAJwArACcAZQAzAHUAOAAnACkAKQA7ACQAQwBqAGkAYQB0AHgAMQA9ACQARgB0AGoAYgB3AGIAMgAgACsAIABbAGMAaABhAHIAXQAoADEAIAArACAAMQAgACsAIA...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\ymqxmcc\rrlip8f\s8jkacs.exe
Перемещает следующие файлы
- %HOMEPATH%\ymqxmcc\rrlip8f\s8jkacs.exe в %WINDIR%\syswow64\mfdvdec\ntoskrnl.exe
Сетевая активность
Подключается к
- '2.##.176.233':80
- '98.##3.204.12':443
- '17#.#6.186.21':8080
- '19#.#75.111.214':8080
- '10#.#90.249.106':80
- '17#.#44.130.105':8080
- '70.#2.84.74':8080
- '19#.#1.38.31':80
- '13#.#7.60.140':8080
TCP
Запросы HTTP POST
- http://98.###.204.12:443/Wik18n/ via 98.##3.204.12
- http://17#.##.186.21:8080/bJGUDUdIybS/dBkZDSdq8C/ via 17#.#6.186.21
UDP
- DNS ASK sh##ook.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\ymqxmcc\rrlip8f\s8jkacs.exe'
- '%WINDIR%\syswow64\mfdvdec\ntoskrnl.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD JABGAG0AZAA2AF8AZQBiAD0AKAAnAFAAJwArACgAJwB3AGUAJwArACcAZQAzAHUAOAAnACkAKQA7ACQAQwBqAGkAYQB0AHgAMQA9ACQARgB0AGoAYgB3AGIAMgAgACsAIABbAGMAaABhAHIAXQAoADEAIAArACAAMQAgACsAIA...' (со скрытым окном)
