Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\jxOAoPB] 'ImagePath' = '<DRIVERS>\jxOAoPB.sys'
Создает следующие сервисы
- 'jxOAoPB' <DRIVERS>\jxOAoPB.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- <DRIVERS>\jxoaopb.sys
- %WINDIR%\temp\udd4817.tmp
- %TEMP%\de2lmyng.bat
- nul
Удаляет следующие файлы
- <DRIVERS>\jxoaopb.sys
- %WINDIR%\temp\udd4817.tmp
Подменяет следующие файлы
- <DRIVERS>\jxoaopb.sys
Самоудаляется.
Сетевая активность
Подключается к
- 'cn.bing.com':80
- '47.##5.203.246':10179
TCP
Запросы HTTP GET
- http://cn.bing.com/
Другие
- '47.##5.203.246':10179
UDP
- DNS ASK cn.bing.com
- DNS ASK wd#.#rmime.top
- DNS ASK sf###.hvhndv.top
- DNS ASK hs##.#uzbqmrecm.top
- '47.##5.205.93':10178
- '255.255.255.255':29352
- '<LOCALNET>.23.29':29353
Другое
Добавляет корневой сертификат
Ищет следующие окна
- ClassName: 'ProgMan' WindowName: ''
- ClassName: 'SHELLDLL_DefView' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\De2lMYNg.bat""' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\De2lMYNg.bat""
- '<SYSTEM32>\ping.exe' -n 2 127.1
