Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\dot3msm] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\dot3msm] 'ImagePath' = '"%WINDIR%\SysWOW64\D3DCompiler_37\dot3msm.exe"'
Создает следующие сервисы
- 'dot3msm' "%WINDIR%\SysWOW64\D3DCompiler_37\dot3msm.exe"
- 'dot3msm' %WINDIR%\SysWOW64\D3DCompiler_37\dot3msm.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD JABGAG0AZAA2AF8AZQBiAD0AKAAnAFAAJwArACgAJwB3AGUAJwArACcAZQAzAHUAOAAnACkAKQA7ACQAQwBqAGkAYQB0AHgAMQA9ACQARgB0AGoAYgB3AGIAMgAgACsAIABbAGMAaABhAHIAXQAoADEAIAArACAAMQAgACsAIA...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\ymqxmcc\rrlip8f\s8jkacs.exe
Перемещает следующие файлы
- %HOMEPATH%\ymqxmcc\rrlip8f\s8jkacs.exe в %WINDIR%\syswow64\d3dcompiler_37\dot3msm.exe
Сетевая активность
Подключается к
- '2.##.176.233':80
- '98.##3.204.12':443
- '17#.#6.186.21':8080
- '19#.#75.111.214':8080
- '10#.#90.249.106':80
- '17#.#44.130.105':8080
- '70.#2.84.74':8080
- '19#.#1.38.31':80
- '13#.#7.60.140':8080
TCP
Запросы HTTP POST
- http://98.###.204.12:443/eHDUVuQ3VQyTAUVfROV/mQen6cxng8JI3ixEf/ via 98.##3.204.12
- http://17#.##.186.21:8080/ZBQpEcP7rEnlvfh/BcsjKigF/zavY5OwsJATBlT5zlbe/FOUsflrACBxRXEPLV5/U8MoqRxpYIcqBmem/471bRhZSOr9zQIO/ via 17#.#6.186.21
UDP
- DNS ASK sh##ook.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\ymqxmcc\rrlip8f\s8jkacs.exe'
- '%WINDIR%\syswow64\d3dcompiler_37\dot3msm.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD JABGAG0AZAA2AF8AZQBiAD0AKAAnAFAAJwArACgAJwB3AGUAJwArACcAZQAzAHUAOAAnACkAKQA7ACQAQwBqAGkAYQB0AHgAMQA9ACQARgB0AGoAYgB3AGIAMgAgACsAIABbAGMAaABhAHIAXQAoADEAIAArACAAMQAgACsAIA...' (со скрытым окном)
