Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\qDapCZhX.dll] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\qDapCZhX.dll] 'ImagePath' = '<SYSTEM32>\regsvr32.exe "<SYSTEM32>\HmkyVQtbKqC\qDapCZhX.dll"'
Создает следующие сервисы
- 'qDapCZhX.dll' <SYSTEM32>\regsvr32.exe "<SYSTEM32>\HmkyVQtbKqC\qDapCZhX.dll"
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' ..\wurod.ocx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\wurod.ocx
- <Текущая директория>\3d531000
Перемещает следующие файлы
- %HOMEPATH%\wurod.ocx в <SYSTEM32>\hmkyvqtbkqc\qdapczhx.dll
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'im###ilgolfo.it':443
- '45.##8.115.99':8080
- '12#.#32.188.93':443
- '16#.#6.142.56':8080
- '21#.#41.20.155':443
- '77.##.247.144':8080
- '18#.#26.111.200':7080
- '94.#3.45.86':4143
- '72.##.201.15':8080
- '20#.#89.28.199':8080
- '21#.#58.226.206':443
- '1.##4.21.73':7080
- '15#.#5.66.124':8080
- '23.#39.0.12':443
- 'il##welp.nl':80
- 'r3.#.lencr.org':80
- 'x1.#.lencr.org':80
- '11#.#93.124.41':7080
- '17#.#04.251.154':8080
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
- http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgRKUsjIB%2FsZSDWCRmu3JUZLBg%3D%3D
- http://il##welp.nl/templates/c9B59jP7zs/
Другие
- 'im###ilgolfo.it':443
- '23.#39.0.12':443
- '15#.#5.66.124':8080
- '11#.#93.124.41':7080
- '94.#3.45.86':4143
UDP
- DNS ASK im###ilgolfo.it
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
- DNS ASK il##welp.nl
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' ..\wurod.ocx' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' "<SYSTEM32>\HmkyVQtbKqC\qDapCZhX.dll"
