Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\WmpT.dll] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\WmpT.dll] 'ImagePath' = '<SYSTEM32>\regsvr32.exe "<SYSTEM32>\CTdzRKPfchjMXR\WmpT.dll"'
Создает следующие сервисы
- 'WmpT.dll' <SYSTEM32>\regsvr32.exe "<SYSTEM32>\CTdzRKPfchjMXR\WmpT.dll"
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' ..\wurod.ocx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\wurod.ocx
- <Текущая директория>\f5a31000
Перемещает следующие файлы
- %HOMEPATH%\wurod.ocx в <SYSTEM32>\ctdzrkpfchjmxr\wmpt.dll
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'it###eitic.com':443
- '45.#35.8.30':8080
- '15#.#06.112.196':8080
- '58.##7.42.236':80
- '20#.#50.246.206':443
- '17#.#04.251.154':8080
- '72.##.201.15':8080
- '45.##8.115.99':8080
- '12#.#32.188.93':443
- '16#.#6.142.56':8080
- '21#.#41.20.155':443
- '77.##.247.144':8080
- '18#.#26.111.200':7080
- '94.#3.45.86':4143
- '20#.#89.28.199':8080
- '11#.#93.124.41':7080
- '21#.#58.226.206':443
- '1.##4.21.73':7080
- '15#.#5.66.124':8080
- '23.#39.0.12':443
- 'ft#.####briconstruction.net':80
- 'in###herbal.com':443
- '17#.#12.193.249':8080
- '27.#4.89.58':8080
TCP
Запросы HTTP GET
- http://ft#.####briconstruction.net/cc/KHieqeOsagkmlGIuXc56/
Другие
- 'in###herbal.com':443
- '15#.#5.66.124':8080
- '1.##4.21.73':7080
- '11#.#93.124.41':7080
- '94.#3.45.86':4143
- '58.##7.42.236':80
UDP
- DNS ASK it###eitic.com
- DNS ASK in###herbal.com
- DNS ASK ft#.####briconstruction.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' ..\wurod.ocx' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' "<SYSTEM32>\CTdzRKPfchjMXR\WmpT.dll"
