Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\vdkezf] 'ImagePath' = 'cmd.exe /c echo vdkezf > \\.\pipe\vdkezf'
- [HKLM\System\CurrentControlSet\Services\IvdWY] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\IvdWY] 'ImagePath' = '"%WINDIR%\TEMP\yciEBPnQ.exe" szRYDqa'
- [HKLM\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%WINDIR%\Temp\WinRing0x64.sys'
Создает следующие сервисы
- 'vdkezf' cmd.exe /c echo vdkezf > \\.\pipe\vdkezf
- 'IvdWY' "%WINDIR%\TEMP\yciEBPnQ.exe" szRYDqa
- 'WinRing0_1_2_0' %WINDIR%\Temp\WinRing0x64.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\services.exe
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\yciebpnq.exe
- %WINDIR%\temp\golang-updater.exe
- %WINDIR%\temp\winring0x64.sys
- %WINDIR%\temp\cert_key.pem
- %WINDIR%\temp\cert.pem
- %WINDIR%\temp\patchza-updatedsze234.txt
- %WINDIR%\temp\loginfer.log
Сетевая активность
Подключается к
- '45.##2.35.107':6594
- '45.##2.35.107':2013
- 'de.#####um.herominers.com':1231
TCP
Другие
- '45.##2.35.107':6594
- 'de.#####um.herominers.com':1231
UDP
- DNS ASK de.#####um.herominers.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\temp\yciebpnq.exe' MMctl
- '%WINDIR%\temp\yciebpnq.exe' szRYDqa
- '%WINDIR%\temp\yciebpnq.exe'
- '%WINDIR%\temp\golang-updater.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c echo vdkezf > \\.\pipe\vdkezf
- '<SYSTEM32>\cmd.exe' /c "%WINDIR%\TEMP\yciEBPnQ.exe" MMctl (со скрытым окном)
- '%WINDIR%\temp\golang-updater.exe' (со скрытым окном)
