Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'JXzL3ZRsmY62' = '<Полный путь к файлу>'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'JXzL3ZRsmY62' = '<Полный путь к файлу>'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\jmjc6fkeke
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei36482\crypto\cipher\_arc4.pyd
- %TEMP%\_mei36482\crypto\cipher\_salsa20.pyd
- %TEMP%\_mei36482\crypto\cipher\_chacha20.pyd
- %TEMP%\_mei36482\crypto\cipher\_pkcs1_decode.pyd
- %TEMP%\_mei36482\crypto\cipher\_raw_aes.pyd
- %TEMP%\_mei36482\crypto\cipher\_raw_aesni.pyd
- %TEMP%\_mei36482\crypto\cipher\_raw_arc2.pyd
- %TEMP%\_mei36482\crypto\cipher\_raw_blowfish.pyd
- %TEMP%\_mei36482\crypto\cipher\_raw_cast.pyd
- %TEMP%\_mei36482\crypto\cipher\_raw_cbc.pyd
- %TEMP%\_mei36482\crypto\cipher\_raw_cfb.pyd
- %TEMP%\_mei36482\crypto\cipher\_raw_ctr.pyd
- %TEMP%\_mei36482\crypto\cipher\_raw_des.pyd
- %TEMP%\_mei36482\crypto\cipher\_raw_des3.pyd
- %TEMP%\_mei36482\crypto\cipher\_raw_ecb.pyd
- %TEMP%\_mei36482\crypto\cipher\_raw_eksblowfish.pyd
- %TEMP%\_mei36482\crypto\cipher\_raw_ocb.pyd
- %TEMP%\_mei36482\crypto\cipher\_raw_ofb.pyd
- %TEMP%\_mei36482\crypto\hash\_blake2b.pyd
- %TEMP%\_mei36482\crypto\hash\_blake2s.pyd
- %TEMP%\_mei36482\crypto\hash\_md2.pyd
- %TEMP%\_mei36482\crypto\hash\_md4.pyd
- %TEMP%\_mei36482\crypto\hash\_md5.pyd
- %TEMP%\_mei36482\crypto\hash\_ripemd160.pyd
- %TEMP%\_mei36482\crypto\hash\_sha1.pyd
- %TEMP%\_mei36482\crypto\hash\_sha224.pyd
- %TEMP%\_mei36482\crypto\hash\_sha256.pyd
- %TEMP%\_mei36482\crypto\hash\_sha384.pyd
- %TEMP%\_mei36482\crypto\hash\_sha512.pyd
- %TEMP%\_mei36482\crypto\hash\_ghash_clmul.pyd
- %TEMP%\_mei36482\crypto\hash\_ghash_portable.pyd
- %TEMP%\_mei36482\crypto\hash\_keccak.pyd
- %TEMP%\_mei36482\crypto\hash\_poly1305.pyd
- %TEMP%\_mei36482\crypto\math\_modexp.pyd
- %TEMP%\_mei36482\crypto\protocol\_scrypt.pyd
- %TEMP%\_mei36482\crypto\publickey\_curve25519.pyd
- %TEMP%\_mei36482\crypto\publickey\_curve448.pyd
- %TEMP%\_mei36482\crypto\publickey\_ec_ws.pyd
- %TEMP%\_mei36482\crypto\publickey\_ed25519.pyd
- %TEMP%\_mei36482\crypto\publickey\_ed448.pyd
- %TEMP%\_mei36482\crypto\util\_cpuid_c.pyd
- %TEMP%\_mei36482\crypto\util\_strxor.pyd
- %TEMP%\_mei36482\vcruntime140.dll
- %TEMP%\_mei36482\vcruntime140_1.dll
- %TEMP%\_mei36482\_bz2.pyd
- %TEMP%\_mei36482\_ctypes.pyd
- %TEMP%\_mei36482\_decimal.pyd
- %TEMP%\_mei36482\_hashlib.pyd
- %TEMP%\_mei36482\_lzma.pyd
- %TEMP%\_mei36482\_socket.pyd
- %TEMP%\_mei36482\base_library.zip
- %TEMP%\_mei36482\libcrypto-1_1.dll
- %TEMP%\_mei36482\libffi-7.dll
- %TEMP%\_mei36482\payload.exe
- %TEMP%\_mei36482\psutil\_psutil_windows.pyd
- %TEMP%\_mei36482\python3.dll
- %TEMP%\_mei36482\python310.dll
- %TEMP%\_mei36482\pywin32_system32\pywintypes310.dll
- %TEMP%\_mei36482\select.pyd
- %TEMP%\_mei36482\unicodedata.pyd
- %TEMP%\_mei36482\win32\_win32sysloader.pyd
- %TEMP%\_mei36482\win32\perfmon.pyd
- %TEMP%\_mei36482\win32\servicemanager.pyd
- %TEMP%\_mei36482\win32\win32api.pyd
- %TEMP%\_mei36482\win32\win32event.pyd
- %TEMP%\_mei36482\win32\win32evtlog.pyd
- %TEMP%\_mei36482\win32\win32service.pyd
- %TEMP%\task.xml
- %TEMP%\wmi.ps1
Удаляет файлы, которые сам же создал
- %TEMP%\task.xml
- %TEMP%\wmi.ps1
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -File %TEMP%\wmi.ps1
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "schtasks /create /tn "JMjC6fkEKE" /xml "%TEMP%\task.xml" /f" (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /tn "JMjC6fkEKE" /xml "%TEMP%\task.xml" /f
