Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\xjofvzu] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\xjofvzu] 'ImagePath' = '%WINDIR%\SysWOW64\xjofvzu\gvtanxj.exe /d"<Полный путь к файлу>"'
- [<HKLM>\SYSTEM\CurrentControlSet\services\xjofvzu] 'ImagePath' = '%WINDIR%\SysWOW64\xjofvzu\gvtanxj.exe'
Создает следующие сервисы
- 'xjofvzu' %WINDIR%\SysWOW64\xjofvzu\gvtanxj.exe /d"<Полный путь к файлу>"
- 'xjofvzu' %WINDIR%\SysWOW64\xjofvzu\gvtanxj.exe
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса с помощью следующих ключей реестра::
- [<HKLM>\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths] '%WINDIR%\SysWOW64\xjofvzu' = '00000000'
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="%WINDIR%\SysWOW64\svchost.exe" enable=yes>nul
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\gvtanxj.exe
Перемещает следующие файлы
- %TEMP%\gvtanxj.exe в %WINDIR%\syswow64\xjofvzu\gvtanxj.exe
Самоудаляется.
Сетевая активность
Подключается к
- 'mi##########m.mail.protection.outlook.com':25
- '59.##8.74.26':443
UDP
- DNS ASK mi##########m.mail.protection.outlook.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\xjofvzu\gvtanxj.exe' /d"<Полный путь к файлу>"
- '%WINDIR%\syswow64\cmd.exe' /C mkdir %WINDIR%\SysWOW64\xjofvzu\' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C move /Y "%TEMP%\gvtanxj.exe" %WINDIR%\SysWOW64\xjofvzu\' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' create xjofvzu binPath= "%WINDIR%\SysWOW64\xjofvzu\gvtanxj.exe /d\"<Полный путь к файлу>\"" type= own start= auto DisplayName= "P2P Support"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' description xjofvzu "Internet Mobile Support"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' start xjofvzu' (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="%WINDIR%\SysWOW64\svchost.exe" enable=yes>nul' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C mkdir %WINDIR%\SysWOW64\xjofvzu\
- '%WINDIR%\syswow64\cmd.exe' /C move /Y "%TEMP%\gvtanxj.exe" %WINDIR%\SysWOW64\xjofvzu\
- '%WINDIR%\syswow64\sc.exe' create xjofvzu binPath= "%WINDIR%\SysWOW64\xjofvzu\gvtanxj.exe /d\"<Полный путь к файлу>\"" type= own start= auto DisplayName= "P2P Support"
- '%WINDIR%\syswow64\sc.exe' description xjofvzu "Internet Mobile Support"
- '%WINDIR%\syswow64\sc.exe' start xjofvzu
- '%WINDIR%\syswow64\svchost.exe'
