Техническая информация
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\bits\3093\svchost.exe' = '<SYSTEM32>\bits\3093\svchost....
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\bits\3093\svchost.exe
- %WINDIR%\syswow64\c088c04fdc.dll
- %WINDIR%\syswow64\bits\khieszcil.dll
- %WINDIR%\syswow64\ppbaxandomd.reg
- <Текущая директория>\$$306609.bat
Удаляет следующие файлы
- %WINDIR%\syswow64\ppbaxandomd.reg
Самоудаляется.
Сетевая активность
UDP
- DNS ASK ud#.#job123.com
- 'ud#.#job123.com':31802
Другое
Ищет следующие окна
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cacls.exe' "<SYSTEM32>\bits" /t /e /g everyone:f' (со скрытым окном)
- '%WINDIR%\syswow64\explorer.exe' /e,<SYSTEM32>\bits\3093\' (со скрытым окном)
- '%WINDIR%\syswow64\regedit.exe' /s "<SYSTEM32>\PPBAXANDOMD.reg"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c <Текущая директория>\$$306609.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cacls.exe' "<SYSTEM32>\bits" /t /e /g everyone:f
- '%WINDIR%\syswow64\regsvr32.exe' /s <SYSTEM32>\bits\khieszcil.dll
- '%WINDIR%\syswow64\explorer.exe' /e,<SYSTEM32>\bits\3093\
- '%WINDIR%\syswow64\regedit.exe' /s "<SYSTEM32>\PPBAXANDOMD.reg"
- '%WINDIR%\syswow64\cmd.exe' /c <Текущая директория>\$$306609.bat
