Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'svcc' = '%APPDATA%\POTPLA~1\wmiprvse.exe'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\service.exe
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- new.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
- %HOMEPATH%\desktop\508softwareandos.doc
- %HOMEPATH%\desktop\adhd_and_obesity.docx
- %HOMEPATH%\desktop\aoc_saq_d_v3_merchant.docx
- %HOMEPATH%\desktop\hanni_umami_chapter.doc
- %HOMEPATH%\desktop\thlps_keeper_mayer_1965.docx
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ns-sa1qk.tmp\ns-qpaeq.tmp
- %TEMP%\tmp51ea.tmp
- %TEMP%\tmp51d9.tmp
- %TEMP%\tmp51d8.tmp
- %TEMP%\tmp51d7.tmp
- %TEMP%\tmp51c7.tmp
- %TEMP%\tmp51b6.tmp
- %TEMP%\tmp51b5.tmp
- %TEMP%\tmp51a5.tmp
- %TEMP%\tmp51a4.tmp
- %TEMP%\tmp51a3.tmp
- %TEMP%\tmp5192.tmp
- %TEMP%\tmp5181.tmp
- %TEMP%\tmp5180.tmp
- %TEMP%\tmp517f.tmp
- %TEMP%\tmp517e.tmp
- %TEMP%\tmp516e.tmp
- %TEMP%\tmp516d.tmp
- %TEMP%\tmp514d.tmp
- %TEMP%\tmp514c.tmp
- %TEMP%\tmp513b.tmp
- %TEMP%\tmp513a.tmp
- %TEMP%\tmp5129.tmp
- %TEMP%\tmp5128.tmp
- %TEMP%\tmp5118.tmp
- %TEMP%\tmp5117.tmp
- %TEMP%\tmp5106.tmp
- %TEMP%\tmp5105.tmp
- %TEMP%\tmp50f5.tmp
- %TEMP%\tmp50e4.tmp
- %TEMP%\tmp50d2.tmp
- %TEMP%\tmp50d3.tmp
- %TEMP%\tmp51fb.tmp
- %TEMP%\tmp51fc.tmp
- %TEMP%\tmp5304.tmp
- %TEMP%\tmp52d4.tmp
- %TEMP%\tmp52b4.tmp
- %TEMP%\tmp52b3.tmp
- %TEMP%\tmp52a2.tmp
- %TEMP%\tmp52a1.tmp
- %TEMP%\tmp52a0.tmp
- %TEMP%\tmp528f.tmp
- %TEMP%\tmp528e.tmp
- %TEMP%\tmp528d.tmp
- %TEMP%\tmp527d.tmp
- %TEMP%\tmp527c.tmp
- %TEMP%\tmp527b.tmp
- %TEMP%\tmp526a.tmp
- %TEMP%\tmp5268.tmp
- %TEMP%\tmp5043.tmp
- %TEMP%\tmp5258.tmp
- %TEMP%\tmp5257.tmp
- %TEMP%\tmp5256.tmp
- %TEMP%\tmp5245.tmp
- %TEMP%\tmp5244.tmp
- %TEMP%\tmp5233.tmp
- %TEMP%\tmp5232.tmp
- %TEMP%\tmp5231.tmp
- %TEMP%\tmp5230.tmp
- %TEMP%\tmp5220.tmp
- %TEMP%\tmp521f.tmp
- %TEMP%\tmp521e.tmp
- %TEMP%\tmp520d.tmp
- %TEMP%\tmp51fd.tmp
- %TEMP%\tmp50c2.tmp
- %TEMP%\tmp50c1.tmp
- %TEMP%\tmp50c0.tmp
- %APPDATA%\potplayer\wmiprvse.exe
- %APPDATA%\potplayer\tv_x64.exe
- %APPDATA%\potplayer\tv_x64.dll
- %APPDATA%\potplayer\tv_w32.exe
- %APPDATA%\potplayer\tv_w32.dll
- %APPDATA%\potplayer\teamviewer_staticres.dll
- %APPDATA%\potplayer\teamviewer_resource_en.dll
- %APPDATA%\potplayer\teamviewer_desktop.exe
- %APPDATA%\potplayer\teamviewer.ini
- %APPDATA%\potplayer\msi.dll
- %APPDATA%\potplayer\m4ox61rolh.bat
- %APPDATA%\potplayer\images.bmp
- %APPDATA%\potplayer\6i72ocw5ge9.cfg
- %TEMP%\l9gld138tr\ns-ndj7g.tmp
- %TEMP%\l9gld138tr\ns-s1s50.tmp
- %TEMP%\l9gld138tr\ns-eel75.tmp
- %TEMP%\l9gld138tr\ns-hdljl.tmp
- %TEMP%\l9gld138tr\ns-17bfj.tmp
- %TEMP%\l9gld138tr\ns-k9dg1.tmp
- %TEMP%\l9gld138tr\ns-gbd3i.tmp
- %TEMP%\l9gld138tr\ns-k2qka.tmp
- %TEMP%\l9gld138tr\ns-9mhl4.tmp
- %TEMP%\l9gld138tr\ns-q35gu.tmp
- %TEMP%\l9gld138tr\ns-jbc7i.tmp
- %TEMP%\l9gld138tr\ns-tmk6h.tmp
- %TEMP%\l9gld138tr\ns-qu11c.tmp
- %TEMP%\ns-hceg0.tmp\_iscrypt.dll
- %TEMP%\ns-hceg0.tmp\_shfoldr.dll
- %TEMP%\new.exe
- %TEMP%\tmp4efa.tmp
- %TEMP%\sec.exe
- %TEMP%\tmp4f0a.tmp
- %TEMP%\tmp50af.tmp
- %TEMP%\tmp4f88.tmp
- %TEMP%\tmp50ae.tmp
- %TEMP%\tmp509e.tmp
- %TEMP%\tmp509d.tmp
- %TEMP%\tmp508c.tmp
- %TEMP%\tmp508b.tmp
- %TEMP%\tmp508a.tmp
- %TEMP%\tmp5079.tmp
- %TEMP%\tmp5078.tmp
- %TEMP%\tmp5068.tmp
- %TEMP%\tmp5067.tmp
- %TEMP%\tmp5066.tmp
- %TEMP%\tmp5055.tmp
- %TEMP%\tmp5054.tmp
- %TEMP%\tmp5269.tmp
- %TEMP%\tmp5305.tmp
- %TEMP%\tmp5042.tmp
- %TEMP%\tmp5031.tmp
- %TEMP%\tmp5030.tmp
- %TEMP%\tmp501f.tmp
- %TEMP%\tmp501e.tmp
- %TEMP%\tmp500e.tmp
- %TEMP%\tmp500d.tmp
- %TEMP%\tmp4ffc.tmp
- %TEMP%\tmp4ffb.tmp
- %TEMP%\tmp4feb.tmp
- %TEMP%\tmp4fea.tmp
- %TEMP%\tmp4fc9.tmp
- %TEMP%\tmp4f9a.tmp
- %TEMP%\tmp4f99.tmp
- %TEMP%\tmp5053.tmp
- nul
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\potplayer\msi.dll
- %APPDATA%\potplayer\teamviewer.ini
- %APPDATA%\potplayer\teamviewer_desktop.exe
- %APPDATA%\potplayer\teamviewer_resource_en.dll
- %APPDATA%\potplayer\teamviewer_staticres.dll
- %APPDATA%\potplayer\tv_w32.dll
- %APPDATA%\potplayer\tv_w32.exe
- %APPDATA%\potplayer\tv_x64.dll
- %APPDATA%\potplayer\tv_x64.exe
- %APPDATA%\potplayer\wmiprvse.exe
Удаляет следующие файлы
- %TEMP%\ns-hceg0.tmp\_iscrypt.dll
- %TEMP%\tmp514d.tmp
- %TEMP%\tmp516e.tmp
- %TEMP%\tmp517f.tmp
- %TEMP%\tmp5181.tmp
- %TEMP%\tmp51a3.tmp
- %TEMP%\tmp51a5.tmp
- %TEMP%\tmp51b6.tmp
- %TEMP%\tmp51d7.tmp
- %TEMP%\tmp51d9.tmp
- %TEMP%\tmp51fb.tmp
- %TEMP%\tmp51fd.tmp
- %TEMP%\tmp521e.tmp
- %TEMP%\tmp5129.tmp
- %TEMP%\tmp513b.tmp
- %TEMP%\tmp5220.tmp
- %TEMP%\tmp5245.tmp
- %TEMP%\tmp5257.tmp
- %TEMP%\tmp5268.tmp
- %TEMP%\tmp526a.tmp
- %TEMP%\tmp527c.tmp
- %TEMP%\tmp528d.tmp
- %TEMP%\tmp528f.tmp
- %TEMP%\tmp52a1.tmp
- %TEMP%\tmp52b3.tmp
- %TEMP%\tmp52b4.tmp
- %TEMP%\tmp52d4.tmp
- %TEMP%\tmp5304.tmp
- %TEMP%\tmp5231.tmp
- %TEMP%\tmp5233.tmp
- %TEMP%\tmp5118.tmp
- %TEMP%\tmp5106.tmp
- %TEMP%\tmp50f5.tmp
- %TEMP%\ns-sa1qk.tmp\ns-qpaeq.tmp
- %TEMP%\l9gld138tr\images.bmp
- %TEMP%\l9gld138tr\msi.dll
- %TEMP%\l9gld138tr\tv_w32.dll
- %TEMP%\l9gld138tr\tv_w32.exe
- %TEMP%\l9gld138tr\tv_x64.dll
- %TEMP%\l9gld138tr\tv_x64.exe
- %TEMP%\l9gld138tr\wmiprvse.exe
- %APPDATA%\potplayer\images.bmp
- %TEMP%\tmp4f0a.tmp
- %TEMP%\tmp4f99.tmp
- %TEMP%\tmp4fc9.tmp
- %TEMP%\tmp4feb.tmp
- %TEMP%\ns-hceg0.tmp\_shfoldr.dll
- %TEMP%\tmp4ffc.tmp
- %TEMP%\tmp501f.tmp
- %TEMP%\tmp5031.tmp
- %TEMP%\tmp5043.tmp
- %TEMP%\tmp5054.tmp
- %TEMP%\tmp5066.tmp
- %TEMP%\tmp5068.tmp
- %TEMP%\tmp5079.tmp
- %TEMP%\tmp508b.tmp
- %TEMP%\tmp509d.tmp
- %TEMP%\tmp50ae.tmp
- %TEMP%\tmp50c0.tmp
- %TEMP%\tmp50c2.tmp
- %TEMP%\tmp50d3.tmp
- %TEMP%\tmp500e.tmp
- %TEMP%\tmp5305.tmp
- %TEMP%\new.exe
Перемещает следующие файлы
- %TEMP%\l9gld138tr\ns-qu11c.tmp в %TEMP%\l9gld138tr\6i72ocw5ge9.cfg
- %TEMP%\l9gld138tr\ns-tmk6h.tmp в %TEMP%\l9gld138tr\images.bmp
- %TEMP%\l9gld138tr\ns-jbc7i.tmp в %TEMP%\l9gld138tr\m4ox61rolh.bat
- %TEMP%\l9gld138tr\ns-q35gu.tmp в %TEMP%\l9gld138tr\msi.dll
- %TEMP%\l9gld138tr\ns-9mhl4.tmp в %TEMP%\l9gld138tr\teamviewer.ini
- %TEMP%\l9gld138tr\ns-k2qka.tmp в %TEMP%\l9gld138tr\teamviewer_desktop.exe
- %TEMP%\l9gld138tr\ns-gbd3i.tmp в %TEMP%\l9gld138tr\teamviewer_resource_en.dll
- %TEMP%\l9gld138tr\ns-k9dg1.tmp в %TEMP%\l9gld138tr\teamviewer_staticres.dll
- %TEMP%\l9gld138tr\ns-17bfj.tmp в %TEMP%\l9gld138tr\tv_w32.dll
- %TEMP%\l9gld138tr\ns-hdljl.tmp в %TEMP%\l9gld138tr\tv_w32.exe
- %TEMP%\l9gld138tr\ns-eel75.tmp в %TEMP%\l9gld138tr\tv_x64.dll
- %TEMP%\l9gld138tr\ns-s1s50.tmp в %TEMP%\l9gld138tr\tv_x64.exe
- %TEMP%\l9gld138tr\ns-ndj7g.tmp в %TEMP%\l9gld138tr\wmiprvse.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://pa###rmine.net/update.php?id################################################
- http://cr####mandarin.xyz/sec.exe
- http://pa###rmine.net/update.php?id######################################################
- http://cr####mandarin.xyz/new.exe
- http://ch#####.amazonaws.com/
Запросы HTTP POST
- http://95.###.172.34:35200/IRemotePanel via 95.##1.172.34
UDP
- DNS ASK pi###.#eamviewer.com
- DNS ASK ma#####.teamviewer.com
- DNS ASK cl####.teamviewer.com
- DNS ASK pa###rmine.net
- DNS ASK cr####mandarin.xyz
- DNS ASK ap#.ip.sb
- DNS ASK ch#####.amazonaws.com
- DNS ASK wh###.iana.org
- DNS ASK WH###.RIPE.NET
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'TeamViewer Manager'
Создает и запускает на исполнение
- '%TEMP%\ns-sa1qk.tmp\ns-qpaeq.tmp' /SL7 $A021A <Полный путь к файлу> 4724375 92160 /password=r84vtgs /verysilent
- '%APPDATA%\potplayer\wmiprvse.exe'
- '%TEMP%\sec.exe'
- '%TEMP%\new.exe'
- '%WINDIR%\syswow64\cmd.exe' /C ""%TEMP%\l9gld138tr\m4ox61rolh.bat""' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "svcc" /t REG_SZ /F /D "%APPDATA%\POTPLA~1\wmiprvse.exe"' (со скрытым окном)
- '%TEMP%\sec.exe' ' (со скрытым окном)
- '%TEMP%\new.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C ""%TEMP%\l9gld138tr\m4ox61rolh.bat""
- '%WINDIR%\syswow64\xcopy.exe' /Y /I /S "%TEMP%\l9gld138tr\*" "%APPDATA%\PotPlayer\"
- '%WINDIR%\syswow64\cmd.exe' /c REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "svcc" /t REG_SZ /F /D "%APPDATA%\POTPLA~1\wmiprvse.exe"
- '%WINDIR%\syswow64\reg.exe' ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "svcc" /t REG_SZ /F /D "%APPDATA%\POTPLA~1\wmiprvse.exe"
- '%WINDIR%\syswow64\cmd.exe' /C ping 127.0.0.1 -n 3 > nul & del "%TEMP%\new.exe"
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 3
