Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\EFS] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\msvcrt20] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\msvcrt20] 'ImagePath' = '"%WINDIR%\SysWOW64\WMADMOE\msvcrt20.exe"'
Создает следующие сервисы
- 'msvcrt20' "%WINDIR%\SysWOW64\WMADMOE\msvcrt20.exe"
- 'msvcrt20' %WINDIR%\SysWOW64\WMADMOE\msvcrt20.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD UwBlAHQALQBJAFQARQBtACAAIAB2AEEAUgBJAEEAQgBsAGUAOgBFADMAOABaADYAIAAgACgAIAAgAFsAVABZAHAAZQBdACgAIgB7ADMAfQB7ADAAfQB7ADQAfQB7ADUAfQB7ADEAfQB7ADIAfQAiACAALQBmACAAJwB0AEUATQ...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\dku9b1_\aapn1vv\avqv7t89l.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\wmadmoe\msvcrt20.exe
Перемещает следующие файлы
- %HOMEPATH%\dku9b1_\aapn1vv\avqv7t89l.exe в %WINDIR%\syswow64\wmadmoe\msvcrt20.exe
Сетевая активность
Подключается к
- '15#.#2.75.74':443
TCP
Запросы HTTP GET
- http://xi##ecun.cn/wp-content/VCNbWWDK/
Запросы HTTP POST
- http://15#.##.75.74:443/qDhX6nWhfBtUU/OGZNUO5l/ via 15#.#2.75.74
UDP
- DNS ASK ge####naveda.xyz
- DNS ASK xi##ecun.cn
- DNS ASK ap###ti.com.br
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\dku9b1_\aapn1vv\avqv7t89l.exe'
- '%WINDIR%\syswow64\wmadmoe\msvcrt20.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD UwBlAHQALQBJAFQARQBtACAAIAB2AEEAUgBJAEEAQgBsAGUAOgBFADMAOABaADYAIAAgACgAIAAgAFsAVABZAHAAZQBdACgAIgB7ADMAfQB7ADAAfQB7ADQAfQB7ADUAfQB7ADEAfQB7ADIAfQAiACAALQBmACAAJwB0AEUATQ...' (со скрытым окном)
