Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Registryhost] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\Registryhost] 'ImagePath' = '%ALLUSERSPROFILE%\Registryhost.exe'
- [HKLM\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%WINDIR%\TEMP\rupudvcjdtmf.sys'
Создает следующие сервисы
- 'Registryhost' %ALLUSERSPROFILE%\Registryhost.exe
- 'WinRing0_1_2_0' %WINDIR%\TEMP\rupudvcjdtmf.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\conhost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\kmspicosetup.exe
- %TEMP%\rarsfx0\registryhost.exe
- %ALLUSERSPROFILE%\registryhost.exe
- %WINDIR%\temp\rupudvcjdtmf.sys
- %TEMP%\is-ibp2u.tmp\kmspicosetup.tmp
- %TEMP%\setup log 2025-07-03 #001.txt
- %TEMP%\is-ije3m.tmp\_isetup\_setup64.tmp
- %TEMP%\is-ije3m.tmp\_isetup\_shfoldr.dll
Сетевая активность
UDP
- DNS ASK po##.#ashvault.pro
Другое
Ищет следующие окна
- ClassName: 'Edit' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\registryhost.exe'
- '%ALLUSERSPROFILE%\registryhost.exe'
- '%TEMP%\rarsfx0\kmspicosetup.exe'
- '%TEMP%\is-ibp2u.tmp\kmspicosetup.tmp' /SL5="$2025E,2952592,69120,%TEMP%\RarSFX0\KMSpicosetup.exe"
Запускает на исполнение
- '<SYSTEM32>\sc.exe' delete "Registryhost"
- '<SYSTEM32>\sc.exe' create "Registryhost" binpath= "%ALLUSERSPROFILE%\Registryhost.exe" start= "auto"
- '<SYSTEM32>\sc.exe' stop eventlog
- '<SYSTEM32>\sc.exe' start "Registryhost"
