Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\ysfmznrn] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\ysfmznrn] 'ImagePath' = '%WINDIR%\SysWOW64\ysfmznrn\afisagxw.exe /d"<Полный путь к файлу>"'
Создает следующие сервисы
- 'ysfmznrn' %WINDIR%\SysWOW64\ysfmznrn\afisagxw.exe /d"<Полный путь к файлу>"
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="%WINDIR%\SysWOW64\svchost.exe" enable=yes>nul
Внедряет код в
следующие пользовательские процессы:
- afisagxw.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\afisagxw.exe
Перемещает следующие файлы
- %TEMP%\afisagxw.exe в %WINDIR%\syswow64\ysfmznrn\afisagxw.exe
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\ysfmznrn\afisagxw.exe' /d"<Полный путь к файлу>"
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C mkdir %WINDIR%\SysWOW64\ysfmznrn\ (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C move /Y "%TEMP%\afisagxw.exe" %WINDIR%\SysWOW64\ysfmznrn\ (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' create ysfmznrn binPath= "%WINDIR%\SysWOW64\ysfmznrn\afisagxw.exe /d\"<Полный путь к файлу>\"" type= own start= auto DisplayName= "wifi support" (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' description ysfmznrn "wifi internet conection" (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' start ysfmznrn (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="%WINDIR%\SysWOW64\svchost.exe" enable=yes>nul (со скрытым окном)
