Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\rnr20] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\rnr20] 'ImagePath' = '"%WINDIR%\SysWOW64\api-ms-win-crt-heap-l1-1-0\rnr20.exe"'
Создает следующие сервисы
- 'rnr20' "%WINDIR%\SysWOW64\api-ms-win-crt-heap-l1-1-0\rnr20.exe"
- 'rnr20' %WINDIR%\SysWOW64\api-ms-win-crt-heap-l1-1-0\rnr20.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD JABvAEQAYwAwAG4AaQA9ACAAWwBUAHkAcABFAF0AKAAiAHsAMQB9AHsANAB9AHsAMgB9AHsAMwB9AHsAMAB9ACIALQBmACcAdABvAHIAeQAnACwAJwBTACcALAAnAE8ALgBEAGkAcgAnACwAJwBFAGMAJwAsACcAWQBTAFQARQ...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\aub_1bg\gtm_8eb\ny8kv9.exe
Удаляет следующие файлы
- %HOMEPATH%\aub_1bg\gtm_8eb\ny8kv9.exe
Перемещает следующие файлы
- %HOMEPATH%\aub_1bg\gtm_8eb\ny8kv9.exe в %WINDIR%\syswow64\api-ms-win-crt-heap-l1-1-0\rnr20.exe
Подменяет следующие файлы
- %HOMEPATH%\aub_1bg\gtm_8eb\ny8kv9.exe
Сетевая активность
Подключается к
- '19#.#45.25.228':80
TCP
Запросы HTTP GET
- http://qu####owtowing.com/indexing/N2/
- http://te###lora.com/grup-bo/NWd/
Запросы HTTP POST
- http://19#.#45.25.228/CKsj8dlGC/olHqNm1L4v7RotsBq6s/8IooPE1MlK8/jLik2S4OYMDB/EjOw/ck9ca7/
UDP
- DNS ASK sa#####rcesupports.com
- DNS ASK sa####pharma.com
- DNS ASK la####line88.com
- DNS ASK qu####owtowing.com
- DNS ASK te###lora.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD JABvAEQAYwAwAG4AaQA9ACAAWwBUAHkAcABFAF0AKAAiAHsAMQB9AHsANAB9AHsAMgB9AHsAMwB9AHsAMAB9ACIALQBmACcAdABvAHIAeQAnACwAJwBTACcALAAnAE8ALgBEAGkAcgAnACwAJwBFAGMAJwAsACcAWQBTAFQARQ...' (со скрытым окном)
