Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\wrghisvp] 'ImagePath' = '<DRIVERS>\3cAnSmKUj.sys'
Создает следующие сервисы
- 'wrghisvp' <DRIVERS>\3cAnSmKUj.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
- Процесс firefox.exe, модуль mswsock.dll
- Процесс firefox.exe, модуль wininet.dll
- Процесс iexplore.exe, модуль mswsock.dll
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\help\eventvwr.exe
- <DRIVERS>\3cansmkuj.sys
- <SYSTEM32>\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\t5levnel\get_ip[1].htm
- <SYSTEM32>\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\t5levnel\0749b5ab1d54c1fd[1].json
- <SYSTEM32>\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\t5levnel\ms[1].json
- <SYSTEM32>\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\t5levnel\ps[1].json
- <SYSTEM32>\config\systemprofile\appdata\roaming\microsoft\windows\cookies\user@baidu[1].txt
- %WINDIR%\serviceprofiles\akhpjbmihoicfcnmninkohbebmlbifoh\1.0.7\manifest.json
- %WINDIR%\serviceprofiles\akhpjbmihoicfcnmninkohbebmlbifoh\1.0.7\background.js
- %WINDIR%\serviceprofiles\akhpjbmihoicfcnmninkohbebmlbifoh\1.0.7\background.html
- %WINDIR%\serviceprofiles\akhpjbmihoicfcnmninkohbebmlbifoh\1.0.7\jquery.min.js
- %WINDIR%\serviceprofiles\akhpjbmihoicfcnmninkohbebmlbifoh\1.0.7\lib\content.js
Удаляет следующие файлы
- <DRIVERS>\3cansmkuj.sys
- <SYSTEM32>\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\t5levnel\get_ip[1].htm
- <SYSTEM32>\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\t5levnel\0749b5ab1d54c1fd[1].json
- <SYSTEM32>\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\t5levnel\ms[1].json
- <SYSTEM32>\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\t5levnel\ps[1].json
Сетевая активность
Подключается к
- 'nq#####z.slt.cdntip.com':80
TCP
Запросы HTTP GET
- http://do##.onefast.cc/pgm/mpr/c995ec7fd4f57c0d/0749b5ab1d54c1fd.zip
- http://do##.onefast.cc/cfg/cmc/sfbd.txt
- http://do##.onefast.cc/pgm/mds/422ed73a26bc994c/8f6b181e9acd608997be30b44587702c5fa71ab95043b48164.zip
- http://do##.onefast.cc/cfg/cmc/b2.txt
- http://pv.#ohu.com/cityjson?ie######
- http://11#.#29.100.93/report.php?da##############################################################################################################################################################...
- http://11#.#29.33.201/report/report_data?da######################################################################################################################################################...
- http://do##.onefast.cc/cfg/cmc/qzpass.txt
- http://do##.onefast.cc/cfg/cmc/mlhjk1.txt
- http://do##.onefast.cc/cfg/cmc/slfdm.txt
- http://do##.onefast.cc/cfg/cmc/wea.txt
- http://do##.onefast.cc/pgm/mds/587896f2d4a85d7b/282ea8f06d5e5b761957ef907e15a650aa6a86af77728dee64.zip
- http://do##.onefast.cc/pgm/mds/52408051d2c341e5/b7105bcf4953db376d82a9b9cd752bda9a98ad2ddad2539e64.zip
- http://do##.onefast.cc/pgm/mds/05631e93ccdb00ee/f79e9e12124babd5cfd67a90642f0fa95d89269797bed44764.zip
- http://do##.onefast.cc/cfg/pub/ps.json
- http://do##.onefast.cc/cfg/pub/ms.json
- http://do##.onefast.cc/cfg/user/c995ec7fd4f57c0d/0749b5ab1d54c1fd.json
- http://11#.#29.33.201/report.php?ty##############################################################################################################################################################...
- http://sp#.#aidu.com/8aQDcjqpAAV3otqbppnN2DJv/api.php?qu##############################################################
- http://ap##.#ame.qq.com/comm-htdocs/ip/get_ip.php
- http://do##.onefast.cc/cfg/cmc/userpq.zip
- http://do##.onefast.cc/pgm/mds/006866ef1b75dc55/48293f91dddad83dc1bdb046528a918a29fa0e0143dbdd9264.zip
- http://do##.onefast.cc/cfg/cmc/chct.txt
UDP
- DNS ASK do##.onefast.cc
- DNS ASK cq.###anqi3366.vip
- DNS ASK qq.##ysmk.top
- DNS ASK cc#.##uanqi6699.vip
- DNS ASK cq.##herur.top
- DNS ASK mp####.hjkl45678.xyz
- DNS ASK pv.#ohu.com
- DNS ASK nm#####.hjkl45678.xyz
- DNS ASK qq.##elpd.top
- DNS ASK lo#.#nefast.cc
- DNS ASK do##.####ast.cc.cdn.dnsv1.com
- DNS ASK nq#####z.slt.cdntip.com
- DNS ASK ap##.#ame.qq.com
- DNS ASK sp#.#aidu.com
- DNS ASK cl####.vbnm34567.xyz
- '<LOCALNET>.11.168':38873
- '<LOCALNET>.11.169':34808
- '<LOCALNET>.11.170':19797
- '<LOCALNET>.11.179':46281
- '<LOCALNET>.11.172':11543
- '<LOCALNET>.11.171':13761
- '<LOCALNET>.11.176':17702
- '<LOCALNET>.11.175':30021
- '<LOCALNET>.11.177':21767
- '<LOCALNET>.11.178':42216
- '<LOCALNET>.11.5':15470
- '<LOCALNET>.11.173':15608
- '<LOCALNET>.11.174':25956
- '<LOCALNET>.11.166':30231
- '<LOCALNET>.11.187':17721
- '<LOCALNET>.11.182':15633
- '<LOCALNET>.11.167':26166
- '<LOCALNET>.11.184':30042
- '<LOCALNET>.11.185':25979
- '<LOCALNET>.11.186':21784
- '<LOCALNET>.11.181':19828
- '<LOCALNET>.11.188':46294
- '<LOCALNET>.11.189':42231
- '<LOCALNET>.11.190':11876
- '<LOCALNET>.11.191':15939
- '<LOCALNET>.11.192':20002
- '<LOCALNET>.11.193':13964
- '<LOCALNET>.11.194':18027
- '<LOCALNET>.11.180':13790
- '<LOCALNET>.11.163':20007
- '<LOCALNET>.11.160':15942
- '<LOCALNET>.11.151':21411
- '<LOCALNET>.11.137':39363
- '<LOCALNET>.11.138':26668
- '<LOCALNET>.11.139':30733
- '<LOCALNET>.11.140':28851
- '<LOCALNET>.11.141':24722
- '<LOCALNET>.11.142':20721
- '<LOCALNET>.11.143':16592
- '<LOCALNET>.11.144':12343
- '<LOCALNET>.11.145':18315
- '<LOCALNET>.11.146':14314
- '<LOCALNET>.11.147':10185
- '<LOCALNET>.11.148':61883
- '<LOCALNET>.11.149':57754
- '<LOCALNET>.11.196':26153
- '<LOCALNET>.11.164':22101
- '<LOCALNET>.11.152':25536
- '<LOCALNET>.11.153':29665
- '<LOCALNET>.11.154':10875
- '<LOCALNET>.11.155':15004
- '<LOCALNET>.11.156':19129
- '<LOCALNET>.11.157':13157
- '<LOCALNET>.11.158':49802
- '<LOCALNET>.11.159':53931
- '<LOCALNET>.11.183':11570
- '<LOCALNET>.11.161':11877
- '<LOCALNET>.11.162':13971
- '<LOCALNET>.11.195':22090
- '<LOCALNET>.11.165':18036
- '<LOCALNET>.11.150':17282
- '<LOCALNET>.11.133':55623
- '<LOCALNET>.11.205':46466
- '<LOCALNET>.11.231':41045
- '<LOCALNET>.11.232':36918
- '<LOCALNET>.11.233':32791
- '<LOCALNET>.11.234':61680
- '<LOCALNET>.11.235':57553
- '<LOCALNET>.11.236':53426
- '<LOCALNET>.11.237':49299
- '<LOCALNET>.11.238':12668
- '<LOCALNET>.11.239':18642
- '<LOCALNET>.11.240':10723
- '<LOCALNET>.11.241':14786
- '<LOCALNET>.11.242':12566
- '<LOCALNET>.11.243':16629
- '<LOCALNET>.11.244':26983
- '<LOCALNET>.11.228':10690
- '<LOCALNET>.11.227':62370
- '<LOCALNET>.11.247':22788
- '<LOCALNET>.11.248':43243
- '<LOCALNET>.11.249':47306
- '<LOCALNET>.11.250':16967
- '<LOCALNET>.11.251':12904
- '<LOCALNET>.11.252':14992
- '<LOCALNET>.11.253':10929
- '<LOCALNET>.11.254':23126
- '23#.#23.112.211':22613
- '<LOCALNET>.11.2':25630
- '<LOCALNET>.11.1':21629
- '<LOCALNET>.11.230':45172
- '<LOCALNET>.11.229':14817
- '<LOCALNET>.11.245':31046
- '<LOCALNET>.11.199':38854
- '<LOCALNET>.11.136':35298
- '<LOCALNET>.11.215':34483
- '<LOCALNET>.11.201':62726
- '<LOCALNET>.11.202':50533
- '<LOCALNET>.11.203':54596
- '<LOCALNET>.11.204':42403
- '<LOCALNET>.11.135':47489
- '<LOCALNET>.11.206':34273
- '<LOCALNET>.11.207':38336
- '<LOCALNET>.11.208':25647
- '<LOCALNET>.11.209':29710
- '<LOCALNET>.11.210':54806
- '<LOCALNET>.11.211':50743
- '<LOCALNET>.11.197':30216
- '<LOCALNET>.11.212':63060
- '<LOCALNET>.11.198':34791
- '<LOCALNET>.11.200':58663
- '<LOCALNET>.11.216':46800
- '<LOCALNET>.11.217':42737
- '<LOCALNET>.11.218':22302
- '<LOCALNET>.11.219':18239
- '<LOCALNET>.11.220':33605
- '<LOCALNET>.11.221':37732
- '<LOCALNET>.11.222':41735
- '<LOCALNET>.11.223':45862
- '<LOCALNET>.11.70':58763
- '<LOCALNET>.11.225':54240
- '<LOCALNET>.11.226':58243
- '<LOCALNET>.11.213':58997
- '<LOCALNET>.11.4':11341
- '<LOCALNET>.11.214':38546
- '<LOCALNET>.11.224':50113
- '<LOCALNET>.11.129':19260
- '<LOCALNET>.11.120':55829
- '<LOCALNET>.11.42':37018
- '<LOCALNET>.11.43':32955
- '<LOCALNET>.11.44':61532
- '<LOCALNET>.11.45':57469
- '<LOCALNET>.11.46':53278
- '<LOCALNET>.11.47':49215
- '<LOCALNET>.11.48':12752
- '<LOCALNET>.11.49':18790
- '<LOCALNET>.11.50':33769
- '<LOCALNET>.11.51':37832
- '<LOCALNET>.11.52':41899
- '<LOCALNET>.11.39':47206
- '<LOCALNET>.11.53':45962
- '<LOCALNET>.11.37':22952
- '<LOCALNET>.11.36':18825
- '<LOCALNET>.11.57':62222
- '<LOCALNET>.11.58':10838
- '<LOCALNET>.11.59':14901
- '<LOCALNET>.11.60':54970
- '<LOCALNET>.11.61':50843
- '<LOCALNET>.11.62':63224
- '<LOCALNET>.11.63':59097
- '<LOCALNET>.11.64':38462
- '<LOCALNET>.11.134':43424
- '<LOCALNET>.11.66':46716
- '<LOCALNET>.11.67':42589
- '<LOCALNET>.11.54':50029
- '<LOCALNET>.11.38':43079
- '<LOCALNET>.11.55':54092
- '<LOCALNET>.11.56':58159
- '<LOCALNET>.11.65':34335
- '<LOCALNET>.11.22':14908
- '<LOCALNET>.11.19':56836
- '<LOCALNET>.11.18':52773
- '<LOCALNET>.11.17':16330
- '<LOCALNET>.11.16':12267
- '<LOCALNET>.11.15':18173
- '<LOCALNET>.11.14':14110
- '<LOCALNET>.11.11':24332
- '<LOCALNET>.11.12':28527
- '<LOCALNET>.11.10':20269
- '<LOCALNET>.11.9':54645
- '<LOCALNET>.11.8':50516
- '<LOCALNET>.11.20':16883
- '<LOCALNET>.11.13':32590
- '<LOCALNET>.11.6':19471
- '<LOCALNET>.11.21':12756
- '<LOCALNET>.11.23':10781
- '<LOCALNET>.11.24':23290
- '<LOCALNET>.11.26':31416
- '<LOCALNET>.11.27':27289
- '<LOCALNET>.11.28':39798
- '<LOCALNET>.11.7':13499
- '<LOCALNET>.11.30':10575
- '<LOCALNET>.11.31':14702
- '<LOCALNET>.11.32':12418
- '<LOCALNET>.11.33':16545
- '<LOCALNET>.11.34':27083
- '<LOCALNET>.11.35':31210
- '<LOCALNET>.11.68':22450
- '<LOCALNET>.11.29':35671
- '<LOCALNET>.11.40':45272
- '<LOCALNET>.11.69':18323
- '<LOCALNET>.11.105':60626
- '<LOCALNET>.11.106':56497
- '<LOCALNET>.11.107':52368
- '<LOCALNET>.11.108':15743
- '<LOCALNET>.11.109':11614
- '<LOCALNET>.11.41':41209
- '<LOCALNET>.11.111':40807
- '<LOCALNET>.11.112':44804
- '<LOCALNET>.11.113':48933
- '<LOCALNET>.11.114':53186
- '<LOCALNET>.11.115':57315
- '<LOCALNET>.11.116':61312
- '<LOCALNET>.11.117':65441
- '<LOCALNET>.11.104':64755
- '<LOCALNET>.11.103':35860
- '<LOCALNET>.11.102':39989
- '<LOCALNET>.11.121':51764
- '<LOCALNET>.11.122':64087
- '<LOCALNET>.11.123':60022
- '<LOCALNET>.11.124':39569
- '<LOCALNET>.11.125':35504
- '<LOCALNET>.11.126':47827
- '<LOCALNET>.11.127':43762
- '<LOCALNET>.11.128':23325
- '<LOCALNET>.11.246':18725
- '<LOCALNET>.11.3':29759
- '<LOCALNET>.11.131':63749
- '<LOCALNET>.11.132':51558
- '<LOCALNET>.11.119':17892
- '<LOCALNET>.11.118':13763
- '<LOCALNET>.11.110':36678
- '<LOCALNET>.11.101':44118
- '<LOCALNET>.11.87':34130
- '<LOCALNET>.11.73':54760
- '<LOCALNET>.11.74':42255
- '<LOCALNET>.11.75':46382
- '<LOCALNET>.11.76':34125
- '<LOCALNET>.11.77':38252
- '<LOCALNET>.11.78':25731
- '<LOCALNET>.11.79':29858
- '<LOCALNET>.11.80':62901
- '<LOCALNET>.11.81':58772
- '<LOCALNET>.11.82':54775
- '<LOCALNET>.11.83':50646
- '<LOCALNET>.11.84':46385
- '<LOCALNET>.11.85':42256
- '<LOCALNET>.11.71':62890
- '<LOCALNET>.11.72':50633
- '<LOCALNET>.11.88':29885
- '<LOCALNET>.11.89':25756
- '<LOCALNET>.11.90':50820
- '<LOCALNET>.11.91':54949
- '<LOCALNET>.11.92':59078
- '<LOCALNET>.11.93':63207
- '<LOCALNET>.11.94':34304
- '<LOCALNET>.11.95':38433
- '<LOCALNET>.11.96':42562
- '<LOCALNET>.11.97':46691
- '<LOCALNET>.11.98':18316
- '<LOCALNET>.11.99':22445
- '<LOCALNET>.11.100':48247
- '<LOCALNET>.11.86':38259
- '<LOCALNET>.11.130':59684
Другое
Добавляет корневой сертификат
Ищет следующие окна
- ClassName: 'ProgMan' WindowName: ''
- ClassName: 'SHELLDLL_DefView' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\help\eventvwr.exe'
- '<SYSTEM32>\ipconfig.exe' /flushdns' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\svchost.exe' -k ztnwgzxg
- '<SYSTEM32>\compact.exe'
- '<SYSTEM32>\ipconfig.exe' /flushdns
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\help\eventvwr.exe"
- '<SYSTEM32>\netsh.exe'
