Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\SYSTEM\CurrentControlSet\Services\UPlugPlay] 'ImagePath' = '%WINDIR%\sqhost.exe Dcomsvc'
- [<HKLM>\System\CurrentControlSet\Services\UPlugPlay] 'Start' = '00000002'
Создает следующие сервисы
- 'UPlugPlay' %WINDIR%\sqhost.exe Dcomsvc
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="Secure Socket Tunneling Protocol (HTTP)" dir=in action=allow program="%WINDIR%\sqhost.exe" enable=yes
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram %WINDIR%\sqhost.exe "Secure Socket Tunneling Protocol (HTTP)" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\<Имя файла>.exe
Перемещает следующие файлы
- %WINDIR%\<Имя файла>.exe в %WINDIR%\sqhost.exe
Сетевая активность
Подключается к
- 'p1.###freepool.net':80
UDP
- DNS ASK p1.###freepool.net
- 'p1.###freepool.net':80
Другое
Создает и запускает на исполнение
- '%WINDIR%\sqhost.exe' Dcomsvc
- '%WINDIR%\sqhost.exe' -watchdog
- '<SYSTEM32>\cmd.exe' /C copy /y "<Полный путь к файлу>" %WINDIR%' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C netsh advfirewall firewall add rule name="Secure Socket Tunneling Protocol (HTTP)" dir=in action=allow program="%WINDIR%\sqhost.exe" enable=yes&netsh firewall add allowedprogram %WINDIR%\sqh...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C sc delete UPlugPlay&sc create UPlugPlay binPath= "%WINDIR%\sqhost.exe Dcomsvc" type= own DisplayName= "UPlug-and-Play Host" start= auto error= ignore' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPlugPlay" /v ImagePath /f /t REG_EXPAND_SZ /d "%WINDIR%\sqhost.exe Dcomsvc"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C sc config UPlugPlay start= auto' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C ren %WINDIR%\<Имя файла>.exe sqhost.exe' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' cmd.exe /C sc start UPlugPlay' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C netsh advfirewall firewall delete rule name="Banned brute IPs"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C Auditpol /set /subcategory:"Logon" /failure:enable' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C copy /y "<Полный путь к файлу>" %WINDIR%
- '<SYSTEM32>\cmd.exe' /c ver
- '<SYSTEM32>\wbem\wmic.exe' ComputerSystem get Model
- '<SYSTEM32>\wbem\wmic.exe' baseboard get product
- '<SYSTEM32>\auditpol.exe' /set /subcategory:"Logon" /failure:enable
- '<SYSTEM32>\netsh.exe' advfirewall firewall delete rule name="Banned brute IPs"
- '<SYSTEM32>\cmd.exe' /C Auditpol /set /subcategory:"Logon" /failure:enable
- '<SYSTEM32>\cmd.exe' /C netsh advfirewall firewall delete rule name="Banned brute IPs"
- '<SYSTEM32>\sc.exe' start UPlugPlay
- '<SYSTEM32>\cmd.exe' cmd.exe /C sc start UPlugPlay
- '<SYSTEM32>\wbem\wmic.exe' OS get lastbootuptime
- '<SYSTEM32>\sc.exe' create UPlugPlay binPath= "%WINDIR%\sqhost.exe Dcomsvc" type= own DisplayName= "UPlug-and-Play Host" start= auto error= ignore
- '<SYSTEM32>\sc.exe' config UPlugPlay start= auto
- '<SYSTEM32>\sc.exe' delete UPlugPlay
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPlugPlay" /v ImagePath /f /t REG_EXPAND_SZ /d "%WINDIR%\sqhost.exe Dcomsvc"
- '<SYSTEM32>\cmd.exe' /C sc config UPlugPlay start= auto
- '<SYSTEM32>\cmd.exe' /C reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPlugPlay" /v ImagePath /f /t REG_EXPAND_SZ /d "%WINDIR%\sqhost.exe Dcomsvc"
- '<SYSTEM32>\cmd.exe' /C sc delete UPlugPlay&sc create UPlugPlay binPath= "%WINDIR%\sqhost.exe Dcomsvc" type= own DisplayName= "UPlug-and-Play Host" start= auto error= ignore
- '<SYSTEM32>\cmd.exe' /C netsh advfirewall firewall add rule name="Secure Socket Tunneling Protocol (HTTP)" dir=in action=allow program="%WINDIR%\sqhost.exe" enable=yes&netsh firewall add allowedprogram %WINDIR%\sqh...
- '<SYSTEM32>\sc.exe' query UPlugPlay
- '<SYSTEM32>\cmd.exe' /c sc query UPlugPlay
- '<SYSTEM32>\cmd.exe' /C ren %WINDIR%\<Имя файла>.exe sqhost.exe
- '<SYSTEM32>\wbem\wmic.exe' os get caption
