Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\yDILGKbXfHVeaeQ.dll] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\yDILGKbXfHVeaeQ.dll] 'ImagePath' = '<SYSTEM32>\regsvr32.exe "<SYSTEM32>\UUUYDDGQLpbkrBR\yDILGKbXfHVeaeQ.dll"'
Создает следующие сервисы
- 'yDILGKbXfHVeaeQ.dll' <SYSTEM32>\regsvr32.exe "<SYSTEM32>\UUUYDDGQLpbkrBR\yDILGKbXfHVeaeQ.dll"
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' ..\vhdxw.ocx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\vhdxw.ocx
- <Текущая директория>\4bb31000
Перемещает следующие файлы
- %HOMEPATH%\vhdxw.ocx в <SYSTEM32>\uuuyddgqlpbkrbr\ydilgkbxfhveaeq.dll
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'il####ratutto.eu':80
- '10#.#48.225.227':8080
- '18#.#25.32.231':4143
- '21#.#7.209.142':8080
- '5.##.132.177':8080
- '45.##.195.104':8080
- '85.##4.67.203':8080
- '54.##.106.167':8080
- '36.#7.23.59':443
- '37.##.209.141':8080
- '62.##1.178.147':8080
- '19#.#.172.107':8080
- '13#.#96.72.155':8080
- '20#.#48.81.119':8080
- '19#.#7.239.39':8080
- '11#.#24.128.206':8080
TCP
Запросы HTTP GET
- http://il####ratutto.eu/tmp/0K1NupyKPeX/
Другие
- '10#.#48.225.227':8080
- '18#.#25.32.231':4143
- '54.##.106.167':8080
- '13#.#96.72.155':8080
- '11#.#24.128.206':8080
UDP
- DNS ASK il####ratutto.eu
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' ..\vhdxw.ocx' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' "<SYSTEM32>\UUUYDDGQLpbkrBR\yDILGKbXfHVeaeQ.dll"
