Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run] 'nalexofyvqhobklkh' = '<SYSTEM32>\srv4228.exe'
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\oporupaoxlSv\Parameters] 'ServiceDll' = '<SYSTEM32>\svcoporupa.dll'
- [HKLM\SYSTEM\CurrentControlSet\Services\oporupaoxlSv] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\oporupaoxlSv] 'ImagePath' = '<SYSTEM32>\svchost.exe -k DcomSec'
- [HKLM\SYSTEM\CurrentControlSet\Services\cbmzqdaoxlSv\Parameters] 'ServiceDll' = '<SYSTEM32>\svccbmzqda.dll'
- [HKLM\SYSTEM\CurrentControlSet\Services\cbmzqdaoxlSv] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\cbmzqdaoxlSv] 'ImagePath' = '<SYSTEM32>\svchost.exe -k DcomSec'
Создает следующие сервисы
- 'oporupaoxlSv' <SYSTEM32>\svchost.exe -k DcomSec
- 'cbmzqdaoxlSv' <SYSTEM32>\svchost.exe -k DcomSec
Изменения в файловой системе
Создает следующие файлы
- C:\logbot.txt
- %TEMP%\lis3942.tmp
- %WINDIR%\syswow64\srv4228.exe
- %WINDIR%\syswow64\svcoporupa.dll
- %TEMP%\lsedf47.tmp
- %WINDIR%\syswow64\svccbmzqda.dll
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
UDP
- DNS ASK mo#####.map.fastly.net
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe' -k DcomSec -s oporupaoxlSv
- '%WINDIR%\syswow64\svchost.exe' -k DcomSec -s cbmzqdaoxlSv
