Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\winmgr] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\winmgr] 'ImagePath' = '%ALLUSERSPROFILE%\winmgr\syswinprdrvc.exe'
- [HKLM\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%WINDIR%\TEMP\uzzovlaijaxl.sys'
Создает следующие сервисы
- 'winmgr' %ALLUSERSPROFILE%\winmgr\syswinprdrvc.exe
- 'WinRing0_1_2_0' %WINDIR%\TEMP\uzzovlaijaxl.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\dwm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\141306403.exe
- %ALLUSERSPROFILE%\winmgr\syswinprdrvc.exe
- %WINDIR%\temp\uzzovlaijaxl.sys
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
- '17#.#6.54.109':80
- '17#.#6.54.109':6000
TCP
Запросы HTTP GET
- http://17#.#6.54.109/xmr.exe
Другие
- '34.##9.100.209':443
- '17#.#6.54.109':6000
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
- DNS ASK mo#####.map.fastly.net
Другое
Создает и запускает на исполнение
- '%TEMP%\141306403.exe'
- '%ALLUSERSPROFILE%\winmgr\syswinprdrvc.exe'
Запускает на исполнение
- '<SYSTEM32>\sc.exe' delete "winmgr"
- '<SYSTEM32>\sc.exe' create "winmgr" binpath= "%ALLUSERSPROFILE%\winmgr\syswinprdrvc.exe" start= "auto"
- '<SYSTEM32>\sc.exe' stop eventlog
- '<SYSTEM32>\sc.exe' start "winmgr"
- '<SYSTEM32>\dwm.exe'
