Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\OYQXLWCB] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\OYQXLWCB] 'ImagePath' = '%ALLUSERSPROFILE%\djtpcthapnrx\eskzkjmqrwyk.exe'
- [HKLM\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%WINDIR%\TEMP\xwiehzrrhujz.sys'
Создает следующие сервисы
- 'OYQXLWCB' %ALLUSERSPROFILE%\djtpcthapnrx\eskzkjmqrwyk.exe
- 'WinRing0_1_2_0' %WINDIR%\TEMP\xwiehzrrhujz.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\conhost.exe
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\djtpcthapnrx\eskzkjmqrwyk.exe
- %WINDIR%\temp\xwiehzrrhujz.sys
Сетевая активность
Подключается к
- 'ze#####1.nanopool.org':10943
- 'pa###bin.com':443
- 'vh#####9.hostline.su':80
TCP
Запросы HTTP POST
- http://vh#####9.hostline.su/api/endpoint.php
Другие
- 'ze#####1.nanopool.org':10943
- 'pa###bin.com':443
UDP
- DNS ASK ze#####1.nanopool.org
- DNS ASK pa###bin.com
- DNS ASK vh#####9.hostline.su
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\djtpcthapnrx\eskzkjmqrwyk.exe'
Запускает на исполнение
- '<SYSTEM32>\sc.exe' delete "OYQXLWCB"
- '<SYSTEM32>\sc.exe' create "OYQXLWCB" binpath= "%ALLUSERSPROFILE%\djtpcthapnrx\eskzkjmqrwyk.exe" start= "auto"
- '<SYSTEM32>\sc.exe' start "OYQXLWCB"
- '<SYSTEM32>\sc.exe' stop eventlog
- '%WINDIR%\explorer.exe'
