Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windowspowershell.wbemscripting.swbemlocator
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\Cndom6] 'ImagePath' = 'C:\Cndom6.sys'
Создает следующие сервисы
- 'Cndom6' C:\Cndom6.sys
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath 'C:\\Users\\Public\\Documents'"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath 'C:\\Cndom6.sys'"
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
- ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'RegmonClass', WindowName: ''
- ClassName: '', WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\is-q0c0c.tmp\<Имя файла>.tmp
- %TEMP%\is-3hvin.tmp\_isetup\_setup64.tmp
- %TEMP%\is-3hvin.tmp\_isetup\_shfoldr.dll
- %ALLUSERSPROFILE%\windowsdata\is-1dh22.tmp
- %ALLUSERSPROFILE%\windowsdata\is-lq98v.tmp
- %ALLUSERSPROFILE%\windowsdata\is-mbeen.tmp
- %ALLUSERSPROFILE%\windowsdata\funzip.exe
- %ALLUSERSPROFILE%\windowsdata\men.exe
- C:\users\public\documents\windowsdata\tree.exe
- C:\users\public\documents\windowsdata\me.key
- C:\users\public\documents\windowsdata\kail.exe
- C:\users\public\documents\windowsdata\bypass.exe
- C:\users\public\documents\windowsdata\kang.exe
- C:\users\public\documents\windowsdata\nvidia.lnk
- C:\users\public\documents\windowsdata\nthandlecallback.exe
- C:\cndom6.sys
- %ALLUSERSPROFILE%\windowsdata\del.bat
- nul
- %ALLUSERSPROFILE%\displaysessioncontainers.log
Удаляет файлы, которые сам же создал
- %ALLUSERSPROFILE%\windowsdata\gynxyplttm.xml
- %TEMP%\is-3hvin.tmp\_isetup\_setup64.tmp
- %TEMP%\is-3hvin.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-q0c0c.tmp\<Имя файла>.tmp
- C:\cndom6.sys
- %ALLUSERSPROFILE%\windowsdata\men.exe
Перемещает следующие файлы
- %ALLUSERSPROFILE%\windowsdata\is-1dh22.tmp в %ALLUSERSPROFILE%\windowsdata\gynxyplttm.xml
- %ALLUSERSPROFILE%\windowsdata\is-lq98v.tmp в %ALLUSERSPROFILE%\windowsdata\server.xml
- %ALLUSERSPROFILE%\windowsdata\is-mbeen.tmp в %ALLUSERSPROFILE%\windowsdata\server.log
- %ALLUSERSPROFILE%\windowsdata\server.log в C:\users\public\documents\windowsdata\server.log
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
- 'uu###ome.com':9000
TCP
Другие
- 'uu###ome.com':9000
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
- DNS ASK uu###ome.com
Другое
Ищет следующие окна
- ClassName: '18467-41' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\is-q0c0c.tmp\<Имя файла>.tmp' /SL5="$902BC,5566542,156160,<Полный путь к файлу>"
- '%ALLUSERSPROFILE%\windowsdata\funzip.exe' x -y -phtLcENyRFYwXsHFnUnqK -o"%ALLUSERSPROFILE%\WindowsData" "%ALLUSERSPROFILE%\WindowsData\server.xml"
- '%ALLUSERSPROFILE%\windowsdata\men.exe'
- 'C:\users\public\documents\windowsdata\nthandlecallback.exe'
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -WindowStyle Hidden -Command "[Console]::OutputEncoding=[System.Text.Encoding]::UTF8;(Get-MpPreference).ExclusionPath|Out-String -Width 4096" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "takeown /f "HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\Tree\WindowsPowerShell.WbemScripting.SWbemLocator" /a >nul 2>&1 & icacls "HKLM\\SOFTWARE\\Microsoft\\... (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c (del /f /q /s "C:\Users\Public\Documents\WindowsData\*" && del /f /q /s "%ALLUSERSPROFILE%\WindowsData\*" && rmdir /q /s "C:\Users\Public\Documents\WindowsData" && rmdir /q /s "%ALLUSERSPROF... (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c del.bat (со скрытым окном)
- '<SYSTEM32>\takeown.exe' /f "HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\Tree\WindowsPowerShell.WbemScripting.SWbemLocator" /a
- '<SYSTEM32>\icacls.exe' "HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\Tree\WindowsPowerShell.WbemScripting.SWbemLocator" /grant Administrators:F
- '<SYSTEM32>\takeown.exe' /f "C:\\Windows\\System32\\Tasks\WindowsPowerShell.WbemScripting.SWbemLocator" /grant Administrators:F
- '<SYSTEM32>\icacls.exe' "C:\\Windows\\System32\\Tasks\WindowsPowerShell.WbemScripting.SWbemLocator" /deny Everyone:D
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command \"$regPath = 'HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\TaskCache\\Tree\WindowsPowerShell.WbemScripting.SWbemLocator'; $acl = (Get-Item -Path $regPath).GetAccess...
- '%ALLUSERSPROFILE%\windowsdata\funzip.exe' x -y -phtLcENyRFYwXsHFnUnqK -o"%ALLUSERSPROFILE%\WindowsData" "%ALLUSERSPROFILE%\WindowsData\server.xml" (со скрытым окном)
- '%ALLUSERSPROFILE%\windowsdata\men.exe' (со скрытым окном)
- 'C:\users\public\documents\windowsdata\nthandlecallback.exe' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath 'C:\\Users\\Public\\Documents'" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath 'C:\\Cndom6.sys'" (со скрытым окном)
