Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command "Add-MpPreference -ExclusionPath '<Текущая директория>\'"
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="리드콜상점" dir=in action=allow program="<Полный путь к файлу>" enable=yes
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\mqttlib.dll
- C:\callcid\axinterop.ktpcbizlib.dll
- C:\callcid\btcrypt.dll
- C:\callcid\bytosntp.dll
- C:\callcid\callsub.exe
- C:\callcid\callsub.ver
- C:\callcid\interop.ktpcbizlib.dll
- C:\callcid\kpa_api.dat
- C:\callcid\kpd_api.dat
- C:\callcid\ktopenapi.dll
Сетевая активность
Подключается к
- 'up####.leadcall.kr':80
- 'hb##.com':80
TCP
Запросы HTTP GET
- http://up####.leadcall.kr/update/download/MqttLib.dll
- http://hb##.com/update/download/AxInterop.KTPCBizLib.dll
- http://hb##.com/update/download/BTCrypt.dll
- http://hb##.com/update/download/BytoSNTP.dll
- http://hb##.com/update/download/CallSub.exe
- http://hb##.com/update/download/CallSub.ver
- http://hb##.com/update/download/Interop.KTPCBizLib.dll
- http://hb##.com/update/download/KPA_API.dat
- http://hb##.com/update/download/KPD_API.dat
- http://hb##.com/update/download/KTOpenAPI.dll
- http://hb##.com/update/download/KTPAddr.dll
UDP
- DNS ASK up####.leadcall.kr
- DNS ASK hb##.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall show rule name="리드콜상점"
