Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\GIYEHSWI] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\GIYEHSWI] 'ImagePath' = '%ALLUSERSPROFILE%\lerfehjeiwba\vtrubwidnbpl.exe'
- [HKLM\SYSTEM\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%WINDIR%\TEMP\zbjsfxiszbxz.sys'
Создает следующие сервисы
- 'GIYEHSWI' %ALLUSERSPROFILE%\lerfehjeiwba\vtrubwidnbpl.exe
- 'WinRing0_1_2_0' %WINDIR%\TEMP\zbjsfxiszbxz.sys
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Журнал событий Windows (Windows Event Logging)
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\conhost.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\lerfehjeiwba\vtrubwidnbpl.exe
- %WINDIR%\temp\zbjsfxiszbxz.sys
Сетевая активность
Подключается к
- 'mo#####.map.fastly.net':443
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
UDP
- DNS ASK mo#####.map.fastly.net
- DNS ASK po##.#ashvault.pro
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\lerfehjeiwba\vtrubwidnbpl.exe'
Запускает на исполнение
- '<SYSTEM32>\sc.exe' delete "GIYEHSWI"
- '<SYSTEM32>\sc.exe' create "GIYEHSWI" binpath= "%ALLUSERSPROFILE%\lerfehjeiwba\vtrubwidnbpl.exe" start= "auto"
- '<SYSTEM32>\sc.exe' stop eventlog
- '<SYSTEM32>\sc.exe' start "GIYEHSWI"
