Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\kkvlknudcbmfi.vxd] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\kkvlknudcbmfi.vxd] 'ImagePath' = '%WINDIR%\SysWOW64\regsvr32.exe /s "%WINDIR%\SysWOW64\Iupwrgblkr\kkvlknudcbmfi.vxd"'
Создает следующие сервисы
- 'kkvlknudcbmfi.vxd' %WINDIR%\SysWOW64\regsvr32.exe /s "%WINDIR%\SysWOW64\Iupwrgblkr\kkvlknudcbmfi.vxd"
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\regsvr32.exe' -s ..\etsg.dll
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\etsg.dll
- <Текущая директория>\a02f0000
Перемещает следующие файлы
- %HOMEPATH%\etsg.dll в %WINDIR%\syswow64\iupwrgblkr\kkvlknudcbmfi.vxd
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'de###liart.com':80
- 'de##yck.net':80
- 'da###lab.com':80
- '5.###.160.61':443
- '94.##7.178.26':8080
- '20#.#9.239.162':443
- '54.##.143.246':7080
- '11#.#9.125.140':8080
- '18#.#48.168.15':8080
- '18#.#66.229.148':443
- '2.##.16.87':8080
- '10#.#31.62.48':8080
- '10#.#2.248.59':7080
- '37.##.209.141':8080
- '10#.#33.214.242':8080
TCP
Запросы HTTP GET
- http://de###liart.com/wp-content/V8WTY45O5rbDHmPaU/
- http://da###lab.com/wordpress_4/zxPS1i6oWXBbeK/
Другие
- '20#.#9.239.162':443
- '54.##.143.246':7080
- '18#.#66.229.148':443
UDP
- DNS ASK de###liart.com
- DNS ASK de##yck.net
- DNS ASK da###lab.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' -s ..\etsg.dll' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' /s "%WINDIR%\SysWOW64\Iupwrgblkr\kkvlknudcbmfi.vxd"
