Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\DJHQJBTG] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\DJHQJBTG] 'ImagePath' = '%ALLUSERSPROFILE%\amcnnbrqpkzp\jisxxrhocdvo.exe'
Создает следующие сервисы
- 'DJHQJBTG' %ALLUSERSPROFILE%\amcnnbrqpkzp\jisxxrhocdvo.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\conhost.exe
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\amcnnbrqpkzp\jisxxrhocdvo.exe
- %WINDIR%\temp\qkwywhpjyijv.sys
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
UDP
- DNS ASK lo###his.space
- DNS ASK ra#.####ubusercontent.com
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\amcnnbrqpkzp\jisxxrhocdvo.exe'
Запускает на исполнение
- '<SYSTEM32>\sc.exe' stop UsoSvc
- '<SYSTEM32>\sc.exe' stop WaaSMedicSvc
- '<SYSTEM32>\sc.exe' stop wuauserv
- '<SYSTEM32>\sc.exe' stop bits
- '<SYSTEM32>\sc.exe' stop dosvc
- '<SYSTEM32>\powercfg.exe' /x -hibernate-timeout-ac 0
- '<SYSTEM32>\powercfg.exe' /x -standby-timeout-ac 0
- '<SYSTEM32>\powercfg.exe' /x -hibernate-timeout-dc 0
- '<SYSTEM32>\powercfg.exe' /x -standby-timeout-dc 0
- '<SYSTEM32>\sc.exe' delete "DJHQJBTG"
- '<SYSTEM32>\sc.exe' create "DJHQJBTG" binpath= "%ALLUSERSPROFILE%\amcnnbrqpkzp\jisxxrhocdvo.exe" start= "auto"
- '<SYSTEM32>\sc.exe' stop eventlog
- '<SYSTEM32>\sc.exe' start "DJHQJBTG"
- '%WINDIR%\explorer.exe'
