Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\tfretnaxbdq] 'ImagePath' = '<DRIVERS>\DaUR13D.sys'
Создает следующие сервисы
- 'tfretnaxbdq' <DRIVERS>\DaUR13D.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\taskhost.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\koizuf.exe
- %ALLUSERSPROFILE%\microsoft\attrib.exe
- <DRIVERS>\daur13d.sys
Удаляет следующие файлы
- <DRIVERS>\daur13d.sys
- <Текущая директория>\koizuf.exe
Сетевая активность
Подключается к
- 'nq#####z.slt.cdntip.com':80
- 'mp####.hjkl45678.xyz':80
TCP
Запросы HTTP GET
- http://21#.##0.218.154:808/xjg.bin via 21#.#50.218.154
- http://do##.onefast.cc/cfg/cmc/sfbd.txt
- http://do##.onefast.cc/pgm/mds/422ed73a26bc994c/8f6b181e9acd608997be30b44587702c5fa71ab95043b48164.zip
- http://do##.onefast.cc/cfg/cmc/kfbd.txt
- http://do##.onefast.cc/pgm/mds/f5d2972ba2a267dd/01b52f532c849cf0806bd3d18fd238b64bb7774f1979663d64.zip
- http://do##.onefast.cc/cfg/cmc/kfbdu.txt
- http://do##.onefast.cc/cfg/cmc/b2.txt
- http://11#.#29.33.201/report/report_data?da######################################################################################################################################################...
- http://do##.onefast.cc/cfg/cmc/qzpass.txt
- http://do##.onefast.cc/cfg/cmc/slfdm.txt
- http://do##.onefast.cc/pgm/mds/52408051d2c341e5/b7105bcf4953db376d82a9b9cd752bda9a98ad2ddad2539e64.zip
- http://do##.onefast.cc/pgm/mds/05631e93ccdb00ee/f79e9e12124babd5dda118b6e600fe01224e5b79c6de680064.zip
- http://11#.#29.33.201/report.php?ty##############################################################################################################################################################...
- http://do##.onefast.cc/cfg/pub/ps.json
- http://do##.onefast.cc/cfg/pub/ms.json
- http://do##.onefast.cc/cfg/user/c995ec7fd4f57c0d/ef7dcae404ea5476.json
- http://sp#.#aidu.com/8aQDcjqpAAV3otqbppnN2DJv/api.php?qu##############################################################
- http://ap##.#ame.qq.com/comm-htdocs/ip/get_ip.php
- http://do##.onefast.cc/cfg/cmc/userpq.zip
- http://do##.onefast.cc/pgm/mpr/c995ec7fd4f57c0d/ef7dcae404ea5476.zip
- http://do##.onefast.cc/pgm/mds/e02f10e3a7d5dc64/eb5925c644b456129ae4a2f716342f517f1b2e3ae2c1a0bb64.zip
- http://11#.#29.100.93/report.php?da##############################################################################################################################################################...
UDP
- DNS ASK do##.onefast.cc
- DNS ASK ne####i.meiqia.com
- DNS ASK pa#####t.ourgame.com
- DNS ASK ch#####k.mstatik.com
- DNS ASK te########ets.meiqiausercontent.com
- DNS ASK ca#######client-a.meiqia.com
- DNS ASK s3#####ud.meiqia.com
- DNS ASK st####.meiqia.com
- DNS ASK zx###xltzy.com
- DNS ASK vu####sfuner3.com
- DNS ASK vu#.##velyhelp.chat
- DNS ASK we#####ice.zoosnet.net
- DNS ASK sq##26.com
- DNS ASK s3#######.meiqiausercontent.com
- DNS ASK cu####fas-vveqs.com
- DNS ASK lo#.#nefast.cc
- DNS ASK cl####.vbnm34567.xyz
- DNS ASK sp#.#aidu.com
- DNS ASK ap##.#ame.qq.com
- DNS ASK do##.####ast.cc.cdn.dnsv1.com
- DNS ASK nq#####z.slt.cdntip.com
- DNS ASK nm#####.hjkl45678.xyz
- DNS ASK je#.#qz226.com
- DNS ASK ld.#puv.xyz
- DNS ASK tf.#o2k.xyz
- DNS ASK mp####.hjkl45678.xyz
- '<LOCALNET>.4.179':18454
- '<LOCALNET>.4.183':63842
- '<LOCALNET>.4.180':51457
- '<LOCALNET>.4.181':55584
- '<LOCALNET>.4.190':64048
- '<LOCALNET>.4.182':59715
- '<LOCALNET>.4.16':15189
- '<LOCALNET>.4.186':43463
- '<LOCALNET>.4.187':47590
- '<LOCALNET>.4.188':18441
- '<LOCALNET>.4.189':22568
- '<LOCALNET>.4.184':35205
- '<LOCALNET>.4.185':39332
- '<LOCALNET>.4.177':43480
- '<LOCALNET>.4.204':22908
- '<LOCALNET>.4.193':51795
- '<LOCALNET>.4.178':22583
- '<LOCALNET>.4.195':43669
- '<LOCALNET>.4.196':39670
- '<LOCALNET>.4.197':35543
- '<LOCALNET>.4.198':31544
- '<LOCALNET>.4.199':27417
- '<LOCALNET>.4.200':16749
- '<LOCALNET>.4.201':12622
- '<LOCALNET>.4.202':14778
- '<LOCALNET>.4.203':10651
- '<LOCALNET>.4.192':55922
- '<LOCALNET>.4.205':18781
- '<LOCALNET>.4.191':59921
- '<LOCALNET>.4.174':39355
- '<LOCALNET>.4.165':47787
- '<LOCALNET>.4.162':51788
- '<LOCALNET>.4.148':13529
- '<LOCALNET>.4.149':17594
- '<LOCALNET>.4.150':48989
- '<LOCALNET>.4.151':44924
- '<LOCALNET>.4.152':40735
- '<LOCALNET>.4.153':36670
- '<LOCALNET>.4.154':65497
- '<LOCALNET>.4.155':61432
- '<LOCALNET>.4.156':57243
- '<LOCALNET>.4.157':53178
- '<LOCALNET>.4.158':15957
- '<LOCALNET>.4.159':11892
- '<LOCALNET>.4.160':59918
- '<LOCALNET>.4.207':26911
- '<LOCALNET>.4.175':35226
- '<LOCALNET>.4.163':55917
- '<LOCALNET>.4.164':43658
- '<LOCALNET>.4.194':47796
- '<LOCALNET>.4.166':35528
- '<LOCALNET>.4.167':39657
- '<LOCALNET>.4.168':27398
- '<LOCALNET>.4.169':31527
- '<LOCALNET>.4.170':55615
- '<LOCALNET>.4.171':51486
- '<LOCALNET>.4.172':63869
- '<LOCALNET>.4.173':59740
- '<LOCALNET>.4.206':31038
- '<LOCALNET>.4.176':47609
- '<LOCALNET>.4.161':64047
- '<LOCALNET>.4.144':52456
- '<LOCALNET>.4.222':24536
- '<LOCALNET>.4.242':62846
- '<LOCALNET>.4.243':58719
- '<LOCALNET>.4.244':38328
- '<LOCALNET>.4.245':34201
- '<LOCALNET>.4.246':46586
- '<LOCALNET>.4.247':42459
- '<LOCALNET>.4.248':21556
- '<LOCALNET>.4.249':17429
- '<LOCALNET>.4.250':58893
- '<LOCALNET>.4.251':63020
- '<LOCALNET>.4.252':50767
- '<LOCALNET>.4.253':54894
- '<LOCALNET>.4.254':42633
- '23#.#23.112.211':24196
- '<LOCALNET>.4.239':56706
- '<LOCALNET>.4.238':52643
- '<LOCALNET>.4.11':25351
- '<LOCALNET>.4.10':29478
- '<LOCALNET>.4.9':47348
- '<LOCALNET>.4.8':43221
- '<LOCALNET>.4.7':22842
- '<LOCALNET>.4.6':18715
- '<LOCALNET>.4.5':31096
- '<LOCALNET>.4.4':26969
- '<LOCALNET>.4.3':16691
- '<LOCALNET>.4.2':12564
- '<LOCALNET>.4.1':14844
- '<LOCALNET>.4.241':50461
- '<LOCALNET>.4.240':54588
- '<LOCALNET>.4.13':17221
- '<LOCALNET>.4.210':10953
- '<LOCALNET>.4.147':64651
- '<LOCALNET>.4.226':18129
- '<LOCALNET>.4.212':12800
- '<LOCALNET>.4.213':16927
- '<LOCALNET>.4.214':27213
- '<LOCALNET>.4.215':31340
- '<LOCALNET>.4.216':18959
- '<LOCALNET>.4.217':23086
- '<LOCALNET>.4.218':43969
- '<LOCALNET>.4.219':48096
- '<LOCALNET>.4.220':32666
- '<LOCALNET>.4.221':28603
- '<LOCALNET>.4.146':60586
- '<LOCALNET>.4.208':39152
- '<LOCALNET>.4.223':20473
- '<LOCALNET>.4.209':35025
- '<LOCALNET>.4.211':15080
- '<LOCALNET>.4.227':14066
- '<LOCALNET>.4.228':65170
- '<LOCALNET>.4.81':55711
- '<LOCALNET>.4.230':19627
- '<LOCALNET>.4.231':23690
- '<LOCALNET>.4.232':27881
- '<LOCALNET>.4.233':31944
- '<LOCALNET>.4.234':13220
- '<LOCALNET>.4.235':17283
- '<LOCALNET>.4.236':11373
- '<LOCALNET>.4.237':15436
- '<LOCALNET>.4.224':16158
- '<LOCALNET>.4.15':19192
- '<LOCALNET>.4.225':12095
- '<LOCALNET>.4.229':61107
- '<LOCALNET>.4.134':21887
- '<LOCALNET>.4.131':11599
- '<LOCALNET>.4.53':36737
- '<LOCALNET>.4.54':65382
- '<LOCALNET>.4.55':61255
- '<LOCALNET>.4.56':57124
- '<LOCALNET>.4.57':52997
- '<LOCALNET>.4.58':16106
- '<LOCALNET>.4.59':11979
- '<LOCALNET>.4.60':60081
- '<LOCALNET>.4.61':64144
- '<LOCALNET>.4.62':51955
- '<LOCALNET>.4.63':56018
- '<LOCALNET>.4.50':49122
- '<LOCALNET>.4.64':43573
- '<LOCALNET>.4.48':13648
- '<LOCALNET>.4.47':64564
- '<LOCALNET>.4.68':27577
- '<LOCALNET>.4.69':31640
- '<LOCALNET>.4.145':56521
- '<LOCALNET>.4.71':51617
- '<LOCALNET>.4.72':63938
- '<LOCALNET>.4.73':59875
- '<LOCALNET>.4.74':39172
- '<LOCALNET>.4.75':35109
- '<LOCALNET>.4.76':47430
- '<LOCALNET>.4.77':43367
- '<LOCALNET>.4.78':22664
- '<LOCALNET>.4.65':47636
- '<LOCALNET>.4.49':17775
- '<LOCALNET>.4.66':35447
- '<LOCALNET>.4.67':39510
- '<LOCALNET>.4.70':55680
- '<LOCALNET>.4.34':21952
- '<LOCALNET>.4.31':11482
- '<LOCALNET>.4.26':18099
- '<LOCALNET>.4.30':15545
- '<LOCALNET>.4.29':46940
- '<LOCALNET>.4.27':22162
- '<LOCALNET>.4.25':30416
- '<LOCALNET>.4.19':57871
- '<LOCALNET>.4.23':15755
- '<LOCALNET>.4.22':11692
- '<LOCALNET>.4.21':13908
- '<LOCALNET>.4.20':19946
- '<LOCALNET>.4.32':13574
- '<LOCALNET>.4.24':26353
- '<LOCALNET>.4.17':11062
- '<LOCALNET>.4.33':19612
- '<LOCALNET>.4.35':17889
- '<LOCALNET>.4.36':30082
- '<LOCALNET>.4.37':26019
- '<LOCALNET>.4.38':37964
- '<LOCALNET>.4.39':33901
- '<LOCALNET>.4.40':36051
- '<LOCALNET>.4.41':40178
- '<LOCALNET>.4.42':44177
- '<LOCALNET>.4.43':48304
- '<LOCALNET>.4.44':52311
- '<LOCALNET>.4.45':56438
- '<LOCALNET>.4.18':61998
- '<LOCALNET>.4.79':18601
- '<LOCALNET>.4.46':60437
- '<LOCALNET>.4.51':44995
- '<LOCALNET>.4.80':51646
- '<LOCALNET>.4.116':15060
- '<LOCALNET>.4.117':10995
- '<LOCALNET>.4.118':62097
- '<LOCALNET>.4.119':58032
- '<LOCALNET>.4.120':20031
- '<LOCALNET>.4.121':14059
- '<LOCALNET>.4.122':11773
- '<LOCALNET>.4.123':15902
- '<LOCALNET>.4.124':26190
- '<LOCALNET>.4.125':30319
- '<LOCALNET>.4.126':17932
- '<LOCALNET>.4.52':40864
- '<LOCALNET>.4.128':42946
- '<LOCALNET>.4.115':19121
- '<LOCALNET>.4.114':13085
- '<LOCALNET>.4.113':17402
- '<LOCALNET>.4.132':13753
- '<LOCALNET>.4.133':19725
- '<LOCALNET>.4.12':21348
- '<LOCALNET>.4.14':13218
- '<LOCALNET>.4.136':30013
- '<LOCALNET>.4.137':25884
- '<LOCALNET>.4.138':38131
- '<LOCALNET>.4.139':34002
- '<LOCALNET>.4.140':35948
- '<LOCALNET>.4.141':40013
- '<LOCALNET>.4.142':44078
- '<LOCALNET>.4.143':48143
- '<LOCALNET>.4.130':15728
- '<LOCALNET>.4.129':47075
- '<LOCALNET>.4.127':22061
- '<LOCALNET>.4.112':21467
- '<LOCALNET>.4.98':31623
- '<LOCALNET>.4.84':35130
- '<LOCALNET>.4.85':39195
- '<LOCALNET>.4.86':43384
- '<LOCALNET>.4.87':47449
- '<LOCALNET>.4.88':18614
- '<LOCALNET>.4.89':22679
- '<LOCALNET>.4.90':64143
- '<LOCALNET>.4.91':60078
- '<LOCALNET>.4.92':56013
- '<LOCALNET>.4.93':51948
- '<LOCALNET>.4.94':47627
- '<LOCALNET>.4.95':43562
- '<LOCALNET>.4.96':39497
- '<LOCALNET>.4.82':59900
- '<LOCALNET>.4.83':63965
- '<LOCALNET>.4.99':27558
- '<LOCALNET>.4.100':16552
- '<LOCALNET>.4.101':20617
- '<LOCALNET>.4.102':24810
- '<LOCALNET>.4.103':28875
- '<LOCALNET>.4.104':10145
- '<LOCALNET>.4.105':14210
- '<LOCALNET>.4.106':18403
- '<LOCALNET>.4.107':12367
- '<LOCALNET>.4.108':49568
- '<LOCALNET>.4.109':53633
- '<LOCALNET>.4.110':29593
- '<LOCALNET>.4.111':25528
- '<LOCALNET>.4.97':35432
- '<LOCALNET>.4.135':17758
Другое
Добавляет корневой сертификат
Ищет следующие окна
- ClassName: 'ProgMan' WindowName: ''
- ClassName: 'SHELLDLL_DefView' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\koizuf.exe'
- '%ALLUSERSPROFILE%\microsoft\attrib.exe'
- '<SYSTEM32>\ipconfig.exe' /flushdns' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c timeout /t 1 & del /Q /F "<Текущая директория>\koizuf.exe"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\ipconfig.exe' /flushdns
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%ALLUSERSPROFILE%\microsoft\attr...
- '%WINDIR%\syswow64\cmd.exe' /c timeout /t 1 & del /Q /F "<Текущая директория>\koizuf.exe"
- '%WINDIR%\syswow64\timeout.exe' /t 1
- '<SYSTEM32>\taskhost.exe'
