Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\WbE3h6GgFAg8h] 'ImagePath' = '<DRIVERS>\4CLkwKHF2WCW.sys'
- [HKLM\System\CurrentControlSet\Services\meFs6jbEhJAJU] 'ImagePath' = '<DRIVERS>\Edjc9NtGcg3n.wux'
- [HKLM\System\CurrentControlSet\Services\wFsBUhmF44R] 'ImagePath' = '<SYSTEM32>\ttePE8yyUr.sys'
- [HKLM\System\CurrentControlSet\Services\vCzNwoyP5i2O] 'ImagePath' = '<SYSTEM32>\rQrORF8fOE.zsw'
- [HKLM\System\CurrentControlSet\Services\H11PMB6BEcpcr] 'ImagePath' = '%WINDIR%\cIWassQDPn.sys'
Создает следующие сервисы
- 'WbE3h6GgFAg8h' <DRIVERS>\4CLkwKHF2WCW.sys
- 'meFs6jbEhJAJU' <DRIVERS>\Edjc9NtGcg3n.wux
- 'wFsBUhmF44R' <SYSTEM32>\ttePE8yyUr.sys
- 'vCzNwoyP5i2O' <SYSTEM32>\rQrORF8fOE.zsw
- 'H11PMB6BEcpcr' %WINDIR%\cIWassQDPn.sys
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\drivers\4clkwkhf2wcw.sys
- %WINDIR%\syswow64\drivers\edjc9ntgcg3n.wux
- %WINDIR%\syswow64\ttepe8yyur.sys
- %WINDIR%\syswow64\rqrorf8foe.zsw
- %WINDIR%\ciwassqdpn.sys
Удаляет следующие файлы
- %WINDIR%\syswow64\drivers\4clkwkhf2wcw.sys
- %WINDIR%\syswow64\drivers\edjc9ntgcg3n.wux
- %WINDIR%\syswow64\ttepe8yyur.sys
- %WINDIR%\syswow64\rqrorf8foe.zsw
Сетевая активность
Подключается к
- '22#.5.5.5':443
- '22#.5.5.5':80
TCP
Другие
- '34.##9.100.209':443
UDP
- DNS ASK xc#.#ycsl.top
- DNS ASK dn#.#lidns.com
- DNS ASK xc#.#eaya.site
