Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windowslogshelper
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\KUScSgw] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\KUScSgw] 'ImagePath' = '<Полный путь к файлу>'
Создает следующие сервисы
- 'KUScSgw' <Полный путь к файлу>
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\svchosthelper.exe
- %TEMP%\windowslogshelper.xml
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\<Имя файла>.exe.log
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\svchosthelper.exe
Удаляет файлы, которые сам же создал
- %TEMP%\windowslogshelper.xml
Сетевая активность
Подключается к
- '94.##4.35.25':80
TCP
Запросы HTTP POST
- http://94.##4.35.25/di9ku38f/index.php
Другое
Создает и запускает на исполнение
- '%WINDIR%\svchosthelper.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\sc.exe' create KUScSgw binPath= "<Полный путь к файлу>" start= auto DisplayName= "Server Service" (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' start KUScSgw (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /tn "WindowsLogsHelper" /xml "%TEMP%\WindowsLogsHelper.xml" /f
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "WindowsLogsHelper" /xml "%TEMP%\WindowsLogsHelper.xml" /f
