Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\i64.sys] 'ImagePath' = '%TEMP%\i64.sys'
Создает следующие сервисы
- 'i64.sys' %TEMP%\\i64.sys
- 'i64.sys' %TEMP%\i64.sys
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\i64.sys
- %WINDIR%\temp\cab95b9.tmp
- %WINDIR%\temp\tar9618.tmp
- %WINDIR%\temp\cabb04d.tmp
- %WINDIR%\temp\tarb04e.tmp
- %WINDIR%\temp\cabd0ca.tmp
- %WINDIR%\temp\tard0cb.tmp
- %WINDIR%\temp\cabe63f.tmp
- %WINDIR%\temp\tare640.tmp
Удаляет следующие файлы
- %TEMP%\i64.sys
- %WINDIR%\temp\cab95b9.tmp
- %WINDIR%\temp\tar9618.tmp
- %WINDIR%\temp\cabb04d.tmp
- %WINDIR%\temp\tarb04e.tmp
- %WINDIR%\temp\cabd0ca.tmp
- %WINDIR%\temp\tard0cb.tmp
- %WINDIR%\temp\cabe63f.tmp
- %WINDIR%\temp\tare640.tmp
Сетевая активность
Подключается к
- 'localhost':49179
- 'localhost':49181
- 'ke##uth.win':443
- 'x1.#.lencr.org':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
Другие
- 'localhost':49179
- 'localhost':49181
- 'localhost':49182
- 'ke##uth.win':443
UDP
- DNS ASK ke##uth.win
- DNS ASK x1.#.lencr.org
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c cls
- '<SYSTEM32>\cmd.exe' /c color 0A
- '<SYSTEM32>\cmd.exe' /c certutil -hashfile "<Полный путь к файлу>" MD5 | find /i /v "md5" | find /i /v "certutil"
- '<SYSTEM32>\certutil.exe' -hashfile "<Полный путь к файлу>" MD5
- '<SYSTEM32>\find.exe' /i /v "md5"
- '<SYSTEM32>\find.exe' /i /v "certutil"
- '<SYSTEM32>\cmd.exe' /c start cmd /C "color b && title Error && echo SSL connect error && timeout /t 5"
- '<SYSTEM32>\cmd.exe' /C "color b && title Error && echo SSL connect error && timeout /t 5"
- '<SYSTEM32>\timeout.exe' /t 5
