BackDoor.XWorm.421

Техническая информация

Для обеспечения автозапуска и распространения

Модифицирует следующие ключи реестра

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'win32svc' = '%ALLUSERSPROFILE%\Microsoft\Windows Defender\Support\x.exe'
[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'win32svc' = '%ALLUSERSPROFILE%\Microsoft\Windows Defender\Support\x.exe'
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'win32svc' = '%ALLUSERSPROFILE%\Microsoft\Windows Defender\Support\x.exe'
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Session AntiVirus' = 'C:\Users\Public\Windows Session AntiVirus.exe'
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'MipDlp' = 'C:\Users\Public\MipDlp.exe'

Создает или изменяет следующие файлы

%APPDATA%\microsoft\windows\start menu\programs\startup\win32svc.lnk
<SYSTEM32>\tasks\windows session antivirus
<SYSTEM32>\tasks\mipdlp
%APPDATA%\microsoft\windows\start menu\programs\startup\windows session antivirus.lnk
%APPDATA%\microsoft\windows\start menu\programs\startup\mipdlp.lnk

Вредоносные функции

Для затруднения выявления своего присутствия в системе

добавляет исключения антивируса:

'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -EncodedCommand QQBkAGQALQBNAHAAUAByAGUAZgBlAHIAZQBuAGMAZQAgAC0ARQB4AGMAbAB1AHMAaQBvAG4AUABhAHQAaAAgACIAQwA6AFwAIgA=
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath '%LOCALAPPDATA%\Windows AntiVirus.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath '%LOCALAPPDATA%\Windows Session AntiVirus.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'Windows AntiVirus.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'Windows Session AntiVirus.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Public\Windows Session AntiVirus.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Public\MipDlp.exe'
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'MipDlp.exe'

Изменения в файловой системе

Создает следующие файлы

%TEMP%\_mei28362\vcruntime140.dll
%TEMP%\_mei28362\_bz2.pyd
%TEMP%\_mei28362\_ctypes.pyd
%TEMP%\_mei28362\_decimal.pyd
%TEMP%\_mei28362\_hashlib.pyd
%TEMP%\_mei28362\_lzma.pyd
%TEMP%\_mei28362\_socket.pyd
%TEMP%\_mei28362\base_library.zip
%TEMP%\_mei28362\libcrypto-3.dll
%TEMP%\_mei28362\libffi-8.dll
%TEMP%\_mei28362\python313.dll
%TEMP%\_mei28362\select.pyd
%TEMP%\_mei28362\startup.bat
%TEMP%\_mei28362\unicodedata.pyd
%TEMP%\_mei28362\x.exe.dead
nul
%ALLUSERSPROFILE%\microsoft\windows defender\support\x.exe.dead
%ALLUSERSPROFILE%\microsoft\windows defender\support\startup.bat
%ALLUSERSPROFILE%\microsoft\windows defender\support\x.exe
%ALLUSERSPROFILE%\microsoft\windows defender\support\create_shortcut.vbs
%LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\x.exe.log
%LOCALAPPDATA%\st-setup-1.8.16.exe
%LOCALAPPDATA%\windows session antivirus.exe
%LOCALAPPDATA%\windows antivirus.exe
%TEMP%\nsr8cfa.tmp
%TEMP%\nsr8cfb.tmp\modern-header.bmp
%TEMP%\nsr8cfb.tmp\modern-wizard.bmp
%TEMP%\nsr8cfb.tmp\nsdialogs.dll
C:\users\public\windows session antivirus.exe
C:\users\public\mipdlp.exe

Сетевая активность

Подключается к

'ip##pi.com':80
'as######-58548.portmap.io':58548
'pu########experience.gl.at.ply.gg':24397

TCP

Запросы HTTP GET

http://ip##pi.com/line/?fi############

UDP

DNS ASK ip##pi.com
DNS ASK pu########experience.gl.at.ply.gg
DNS ASK as######-58548.portmap.io

Другое

Создает и запускает на исполнение

'%ALLUSERSPROFILE%\microsoft\windows defender\support\x.exe'
'%LOCALAPPDATA%\st-setup-1.8.16.exe'
'%LOCALAPPDATA%\windows session antivirus.exe'
'%LOCALAPPDATA%\windows antivirus.exe'
'C:\users\public\mipdlp.exe'
'C:\users\public\windows session antivirus.exe'

Перезапускает анализируемый образец

Запускает на исполнение

'<SYSTEM32>\cmd.exe' /c "powershell -WindowStyle Hidden -EncodedCommand QQBkAGQALQBNAHAAUAByAGUAZgBlAHIAZQBuAGMAZQAgAC0ARQB4AGMAbAB1AHMAaQBvAG4AUABhAHQAaAAgACIAQwA6AFwAIgA=" (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c "%ALLUSERSPROFILE%\Microsoft\Windows Defender\Support\x.exe" (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c "%ALLUSERSPROFILE%\Microsoft\Windows Defender\Support\startup.bat" (со скрытым окном)
'<SYSTEM32>\wscript.exe' "%ALLUSERSPROFILE%\Microsoft\Windows Defender\Support\create_shortcut.vbs"
'<SYSTEM32>\schtasks.exe' /create /f /RL HIGHEST /sc minute /mo 1 /tn "Windows Session AntiVirus" /tr "C:\Users\Public\Windows Session AntiVirus.exe" (со скрытым окном)
'<SYSTEM32>\schtasks.exe' /create /f /RL HIGHEST /sc minute /mo 1 /tn "MipDlp" /tr "C:\Users\Public\MipDlp.exe" (со скрытым окном)
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath '%LOCALAPPDATA%\Windows AntiVirus.exe' (со скрытым окном)
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath '%LOCALAPPDATA%\Windows Session AntiVirus.exe' (со скрытым окном)
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'Windows AntiVirus.exe' (со скрытым окном)
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'Windows Session AntiVirus.exe' (со скрытым окном)
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Public\Windows Session AntiVirus.exe' (со скрытым окном)
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath 'C:\Users\Public\MipDlp.exe' (со скрытым окном)
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'MipDlp.exe' (со скрытым окном)