Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\xqzf.zwk] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\xqzf.zwk] 'ImagePath' = '<SYSTEM32>\regsvr32.exe "<SYSTEM32>\Hcpfgeplt\xqzf.zwk"'
Создает следующие сервисы
- 'xqzf.zwk' <SYSTEM32>\regsvr32.exe "<SYSTEM32>\Hcpfgeplt\xqzf.zwk"
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' ..\wnrul.ocx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\wnrul.ocx
- <Текущая директория>\92a41000
Перемещает следующие файлы
- %HOMEPATH%\wnrul.ocx в <SYSTEM32>\hcpfgeplt\xqzf.zwk
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'fa###a.com.ar':443
- '20#.#4.166.162':443
- '10#.#32.242.26':8080
- '18#.#4.20.25':443
- '45.##8.115.99':8080
- '11#.#93.124.41':7080
- '21#.#4.98.99':8080
- '1.##4.21.73':7080
- '12#.#32.188.93':443
- '10#.#68.154.79':8080
- '13#.#95.212.50':7080
- '13#.#97.147.101':443
- '13#.#01.142.73':8080
- 'ec###ch.com.tw':80
- 'fa####yclub.com.br':443
- '14#.#6.131.28':8080
- '20#.#89.28.199':8080
TCP
Запросы HTTP GET
- http://ec###ch.com.tw/cgi-bin/vWW/
Другие
- 'fa###a.com.ar':443
- 'fa####yclub.com.br':443
- '13#.#01.142.73':8080
- '13#.#97.147.101':443
- '10#.#68.154.79':8080
- '14#.#6.131.28':8080
- '11#.#93.124.41':7080
UDP
- DNS ASK fa###a.com.ar
- DNS ASK fa####yclub.com.br
- DNS ASK ec###ch.com.tw
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' ..\wnrul.ocx' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' "<SYSTEM32>\Hcpfgeplt\xqzf.zwk"
