Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\servcles] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\servcles] 'ImagePath' = '<SYSTEM32>\svchost.exe -k "servcles"'
- [HKLM\SYSTEM\CurrentControlSet\Services\servcles\Parameters] 'ServiceDll' = '%TEMP%\879578.dll'
Создает следующие сервисы
- 'servcles' <SYSTEM32>\svchost.exe -k "servcles"
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\1.bat
- %ALLUSERSPROFILE%\1.exe
- %ALLUSERSPROFILE%\2.exe
- %ALLUSERSPROFILE%\1433.exe
- %ALLUSERSPROFILE%\2433.exe
- %TEMP%\879578.dll
- %WINDIR%\syswow64\servcles.exe
- %ALLUSERSPROFILE%\run.sct
- %ALLUSERSPROFILE%\aaaaaaaaaaaaaaaaaaaaaaaaaaaaa
- %ALLUSERSPROFILE%\output.tlb
- %ALLUSERSPROFILE%\windows\system32\tapi3.dll
Удаляет файлы, которые сам же создал
- %ALLUSERSPROFILE%\aaaaaaaaaaaaaaaaaaaaaaaaaaaaa
- %ALLUSERSPROFILE%\output.tlb
- %ALLUSERSPROFILE%\windows\system32\tapi3.dll
- %ALLUSERSPROFILE%\run.sct
Сетевая активность
Подключается к
- 'cl####ase-init.pw':53
TCP
Другие
- 'cl####ase-init.pw':53
UDP
- DNS ASK cl####ase-init.pw
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\2433.exe'
- '%ALLUSERSPROFILE%\1.exe' 1433.exe
- '%WINDIR%\syswow64\servcles.exe' "%TEMP%\879578.dll",MainThread
- '%ALLUSERSPROFILE%\2.exe' 1433.exe
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\1.bat" "
- '%WINDIR%\syswow64\svchost.exe' -k "servcles"
- '%WINDIR%\syswow64\cmd.exe' /c ping 127.0.0.1 -n 1 && del /f/q "%ALLUSERSPROFILE%\2433.exe" (со скрытым окном)
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 1
