Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\ffrwbdgv.mjq] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\ffrwbdgv.mjq] 'ImagePath' = '%WINDIR%\SysWOW64\regsvr32.exe /s "%WINDIR%\SysWOW64\Nrblqhich\ffrwbdgv.mjq"'
Создает следующие сервисы
- 'ffrwbdgv.mjq' %WINDIR%\SysWOW64\regsvr32.exe /s "%WINDIR%\SysWOW64\Nrblqhich\ffrwbdgv.mjq"
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\regsvr32.exe' -s ..\urtj.dll
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\urtj.dll
- <Текущая директория>\ced51000
Перемещает следующие файлы
- %HOMEPATH%\urtj.dll в %WINDIR%\syswow64\nrblqhich\ffrwbdgv.mjq
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'ge###rsh.com':443
- '18#.#57.82.211':8080
- '18#.#4.20.25':443
- '16#.68.99.3':8080
- '15#.#9.222.101':443
- '20#.#89.28.199':8080
- '1.##4.21.73':7080
- '21#.#4.98.99':8080
- '16#.#9.115.35':8080
- '21#.#58.226.206':443
- '79.##3.187.147':443
- '18#.#4.80.182':443
- '13#.#97.109.175':8080
- '10#.#31.11.205':443
- '68.##3.94.239':80
- 'ga#####haliyikama.com':80
- '13#.#22.66.193':8080
- '19#.#18.30.83':443
TCP
Запросы HTTP GET
- http://www.ga#####haliyikama.com/wp-admin/FjgB6I/
Другие
- 'ge###rsh.com':443
- '15#.#9.222.101':443
UDP
- DNS ASK ge###rsh.com
- DNS ASK ga#####haliyikama.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' -s ..\urtj.dll' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' /s "%WINDIR%\SysWOW64\Nrblqhich\ffrwbdgv.mjq"
