Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\explorer
- <SYSTEM32>\tasks\taskhost
- <SYSTEM32>\tasks\dwm
- <SYSTEM32>\tasks\lsass
- <SYSTEM32>\tasks\firefox
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %APPDATA%\opera software\opera stable\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %HOMEPATH%\desktop\february_catalogue__2015.doc
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'RegmonClass', WindowName: ''
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\flash_sa\explorer.exe
- C:\users\public\e2dgeo4arp
- C:\users\public\fx6kvyzaxd
- C:\users\public\y3tnn0uazm
- C:\users\public\r1cqdkp6ew
- C:\users\public\fibrpzwfuf
- C:\users\public\f7gkzuitga
- C:\users\public\6rsd2ayyll
- C:\users\public\seztxalpge
- C:\users\public\3dgab7awnn
- C:\users\public\gtond0ad0i
- C:\users\public\gt9kpu99an
- C:\users\public\7znnvpd9is
- C:\users\public\qwbpskakqg
- C:\users\public\zysz2ho2xb
- %ProgramFiles(x86)%\mozilla firefox\maintenanceservice\0fc223bdacedc38dd6d2772d547ade1563558e92
- %ProgramFiles(x86)%\mozilla firefox\maintenanceservice\firefox.exe
- C:\users\public\videos\sample videos\6203df4a6bafc7c328ee7f6f8ca0a8a838a8a1b9
- C:\users\public\videos\sample videos\lsass.exe
- C:\recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\6cb0b6c459d5d3455a3da700e713f2e2529862ff
- C:\recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\dwm.exe
- %WINDIR%\syswow64\iphlpapi\b75386f1303e64d8139363b71e44ac16341adf4e
- %WINDIR%\syswow64\iphlpapi\taskhost.exe
- %WINDIR%\flash_sa\7a0fd90576e08807bde2cc57bcf9854bbce05fe3
- C:\users\public\elptllponz
- C:\users\public\fvqhjt4cuf
Удаляет следующие файлы
- C:\users\public\zysz2ho2xb
- C:\users\public\qwbpskakqg
- C:\users\public\7znnvpd9is
- C:\users\public\gt9kpu99an
- C:\users\public\gtond0ad0i
- C:\users\public\3dgab7awnn
- C:\users\public\seztxalpge
- C:\users\public\6rsd2ayyll
- C:\users\public\f7gkzuitga
- C:\users\public\fibrpzwfuf
- C:\users\public\r1cqdkp6ew
- C:\users\public\y3tnn0uazm
- C:\users\public\fx6kvyzaxd
- C:\users\public\e2dgeo4arp
- C:\users\public\elptllponz
- C:\users\public\fvqhjt4cuf
Сетевая активность
Подключается к
- 'f0####96.xsph.ru':80
- 'ip##fo.io':443
TCP
Запросы HTTP GET
- http://f0####96.xsph.ru/LineApiWindows.php?HV####################################################################################################################################################...
- http://f0####96.xsph.ru/LineApiWindows.php?HV#############################################################################################################################
UDP
- DNS ASK f0####96.xsph.ru
- DNS ASK ip##fo.io
Другое
Ищет следующие окна
- ClassName: 'Registry Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
- ClassName: '18467-41' WindowName: ''
- ClassName: 'File Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
- ClassName: 'Process Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\mozilla firefox\maintenanceservice\firefox.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "explorer" /sc ONLOGON /tr "'%WINDIR%\flash_sa\explorer.exe'" /rl HIGHEST /f
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "taskhost" /sc ONLOGON /tr "'<SYSTEM32>\IPHLPAPI\taskhost.exe'" /rl HIGHEST /f
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "dwm" /sc ONLOGON /tr "'C:\Recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\dwm.exe'" /rl HIGHEST /f
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "lsass" /sc ONLOGON /tr "'C:\Users\Public\Videos\Sample Videos\lsass.exe'" /rl HIGHEST /f
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "firefox" /sc ONLOGON /tr "'%ProgramFiles(x86)%\Mozilla Firefox\maintenanceservice\firefox.exe'" /rl HIGHEST /f
