Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\nlianvbce.itw] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\nlianvbce.itw] 'ImagePath' = '%WINDIR%\SysWOW64\regsvr32.exe /s "%WINDIR%\SysWOW64\Yyfymtkhg\nlianvbce.itw"'
Создает следующие сервисы
- 'nlianvbce.itw' %WINDIR%\SysWOW64\regsvr32.exe /s "%WINDIR%\SysWOW64\Yyfymtkhg\nlianvbce.itw"
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\regsvr32.exe' -s ..\xcah.dll
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\xcah.dll
- <Текущая директория>\3c831000
Перемещает следующие файлы
- %HOMEPATH%\xcah.dll в %WINDIR%\syswow64\yyfymtkhg\nlianvbce.itw
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'fl##eco.net':443
- 'x1.#.lencr.org':80
- 'r3.#.lencr.org':80
- 'er####dyator.com.tr':80
- '5.###.160.61':443
- '94.##7.178.26':8080
- '20#.#9.239.162':443
- '54.##.143.246':7080
- '11#.#9.125.140':8080
- '18#.#48.168.15':8080
- '18#.#66.229.148':443
- '2.##.16.87':8080
- '10#.#31.62.48':8080
- '10#.#2.248.59':7080
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
- http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgRLf9Am70AMPpk1Ag%2BxkK5uqw%3D%3D
- http://er####dyator.com.tr/Areas/wilcCqSEs6cEM3D/
Другие
- 'fl##eco.net':443
- '94.##7.178.26':8080
- '20#.#9.239.162':443
- '54.##.143.246':7080
- '18#.#66.229.148':443
UDP
- DNS ASK fl##eco.net
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
- DNS ASK er####dyator.com.tr
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' -s ..\xcah.dll' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' /s "%WINDIR%\SysWOW64\Yyfymtkhg\nlianvbce.itw"
