Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\dialersvc64
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\HTCEATZI] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\HTCEATZI] 'ImagePath' = '%ALLUSERSPROFILE%\auwwogeutozl\dnkafveflywl.exe'
- [HKLM\SYSTEM\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%WINDIR%\TEMP\WinRing0x64.sys'
Создает следующие сервисы
- 'HTCEATZI' %ALLUSERSPROFILE%\auwwogeutozl\dnkafveflywl.exe
- 'WinRing0_1_2_0' %WINDIR%\TEMP\WinRing0x64.sys
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Журнал событий Windows (Windows Event Logging)
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramData) -ExclusionExtension '.exe' -Force
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\dllhost.exe
- <SYSTEM32>\dialer.exe
- <SYSTEM32>\winlogon.exe
- <SYSTEM32>\lsass.exe
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\dwm.exe
- <SYSTEM32>\wudfhost.exe
- <SYSTEM32>\spoolsv.exe
- <SYSTEM32>\sihost.exe
- <SYSTEM32>\taskhostw.exe
- %WINDIR%\explorer.exe
- <SYSTEM32>\runtimebroker.exe
- <SYSTEM32>\securityhealthsystray.exe
- <SYSTEM32>\oobe\useroobebroker.exe
- <SYSTEM32>\wbem\wmiprvse.exe
- <SYSTEM32>\sppextcomobj.exe
- <SYSTEM32>\slui.exe
- <SYSTEM32>\windowspowershell\v1.0\powershell.exe
- <SYSTEM32>\powercfg.exe
- <SYSTEM32>\conhost.exe
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль advapi32.dll
- Процесс firefox.exe, модуль advapi32.dll
Патчит код
в динамической библиотеке
- Процесс dllhost.exe, модуль KERNEL32.dll
- Процесс winlogon.exe, модуль pdh.dll
- Процесс lsass.exe, модуль pdh.dll
- Процесс svchost.exe, модуль pdh.dll
- Процесс dwm.exe, модуль pdh.dll
- Процесс wudfhost.exe, модуль pdh.dll
- Процесс spoolsv.exe, модуль pdh.dll
- Процесс sihost.exe, модуль pdh.dll
- Процесс taskhostw.exe, модуль pdh.dll
- Процесс runtimebroker.exe, модуль pdh.dll
- Процесс runtimebroker.exe, модуль ADVAPI32.dll
- Процесс securityhealthsystray.exe, модуль pdh.dll
- Процесс iexplore.exe, модуль pdh.dll
- Процесс firefox.exe, модуль pdh.dll
- Процесс useroobebroker.exe, модуль pdh.dll
- Процесс powercfg.exe, модуль pdh.dll
- Процесс powercfg.exe, модуль SECHOST.dll
- Процесс powercfg.exe, модуль ADVAPI32.dll
- Процесс powershell.exe, модуль pdh.dll
- Процесс powershell.exe, модуль SECHOST.dll
- Процесс powershell.exe, модуль ADVAPI32.dll
- Процесс slui.exe, модуль pdh.dll
- Процесс slui.exe, модуль SECHOST.dll
- Процесс slui.exe, модуль ADVAPI32.dll
в динамической библиотеке AMSI
- Процесс powershell.exe, модуль Amsi.dll
в динамической библиотеке NTDLL
- Процесс dllhost.exe, модуль ntdll.dll
- Процесс powercfg.exe, модуль ntdll.dll
- Процесс powershell.exe, модуль ntdll.dll
- Процесс slui.exe, модуль ntdll.dll
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\windowspowershell\v1.0\powershell.exe
- <SYSTEM32>\dllhost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei46882\crypto\cipher\_arc4.pyd
- %TEMP%\_mei46882\crypto\cipher\_salsa20.pyd
- %TEMP%\_mei46882\crypto\cipher\_chacha20.pyd
- %TEMP%\_mei46882\crypto\cipher\_pkcs1_decode.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_aes.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_aesni.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_arc2.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_blowfish.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_cast.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_cbc.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_cfb.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_ctr.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_des.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_des3.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_ecb.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_eksblowfish.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_ocb.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_ofb.pyd
- %TEMP%\_mei46882\crypto\hash\_blake2b.pyd
- %TEMP%\_mei46882\crypto\hash\_blake2s.pyd
- %TEMP%\_mei46882\crypto\hash\_md2.pyd
- %TEMP%\_mei46882\crypto\hash\_md4.pyd
- %TEMP%\_mei46882\crypto\hash\_md5.pyd
- %TEMP%\_mei46882\crypto\hash\_ripemd160.pyd
- %TEMP%\_mei46882\crypto\hash\_sha1.pyd
- %TEMP%\_mei46882\crypto\hash\_sha224.pyd
- %TEMP%\_mei46882\crypto\hash\_sha256.pyd
- %TEMP%\_mei46882\crypto\hash\_sha384.pyd
- %TEMP%\_mei46882\crypto\hash\_sha512.pyd
- %TEMP%\_mei46882\crypto\hash\_ghash_clmul.pyd
- %TEMP%\_mei46882\crypto\hash\_ghash_portable.pyd
- %TEMP%\_mei46882\crypto\hash\_keccak.pyd
- %TEMP%\_mei46882\crypto\hash\_poly1305.pyd
- %TEMP%\_mei46882\crypto\math\_modexp.pyd
- %TEMP%\_mei46882\crypto\protocol\_scrypt.pyd
- %TEMP%\_mei46882\crypto\publickey\_curve25519.pyd
- %TEMP%\_mei46882\crypto\publickey\_curve448.pyd
- %TEMP%\_mei46882\crypto\publickey\_ec_ws.pyd
- %TEMP%\_mei46882\crypto\publickey\_ed25519.pyd
- %TEMP%\_mei46882\crypto\publickey\_ed448.pyd
- %TEMP%\_mei46882\crypto\util\_cpuid_c.pyd
- %TEMP%\_mei46882\crypto\util\_strxor.pyd
- %TEMP%\_mei46882\vcruntime140.dll
- %TEMP%\_mei46882\vcruntime140_1.dll
- %TEMP%\_mei46882\_asyncio.pyd
- %TEMP%\_mei46882\_bz2.pyd
- %TEMP%\_mei46882\_cffi_backend.cp312-win_amd64.pyd
- %TEMP%\_mei46882\_ctypes.pyd
- %TEMP%\_mei46882\_decimal.pyd
- %TEMP%\_mei46882\_hashlib.pyd
- %TEMP%\_mei46882\_lzma.pyd
- %TEMP%\_mei46882\_multiprocessing.pyd
- %TEMP%\_mei46882\_overlapped.pyd
- %TEMP%\_mei46882\_queue.pyd
- %TEMP%\_mei46882\_socket.pyd
- %TEMP%\_mei46882\_ssl.pyd
- %TEMP%\_mei46882\_wmi.pyd
- %TEMP%\_mei46882\base_library.zip
- %TEMP%\_mei46882\importlib_metadata-8.7.1.dist-info\installer
- %TEMP%\_mei46882\importlib_metadata-8.7.1.dist-info\metadata
- %TEMP%\_mei46882\importlib_metadata-8.7.1.dist-info\record
- %TEMP%\_mei46882\importlib_metadata-8.7.1.dist-info\wheel
- %TEMP%\_mei46882\importlib_metadata-8.7.1.dist-info\licenses\license
- %TEMP%\_mei46882\importlib_metadata-8.7.1.dist-info\top_level.txt
- %TEMP%\_mei46882\libcrypto-3.dll
- %TEMP%\_mei46882\libffi-8.dll
- %TEMP%\_mei46882\libssl-3.dll
- %TEMP%\_mei46882\pyexpat.pyd
- %TEMP%\_mei46882\pyreadline3-3.5.4.dist-info\installer
- %TEMP%\_mei46882\pyreadline3-3.5.4.dist-info\license.md
- %TEMP%\_mei46882\pyreadline3-3.5.4.dist-info\metadata
- %TEMP%\_mei46882\pyreadline3-3.5.4.dist-info\record
- %TEMP%\_mei46882\pyreadline3-3.5.4.dist-info\wheel
- %TEMP%\_mei46882\pyreadline3-3.5.4.dist-info\top_level.txt
- %TEMP%\_mei46882\python312.dll
- %TEMP%\_mei46882\pywin32_system32\pywintypes312.dll
- %TEMP%\_mei46882\select.pyd
- %TEMP%\_mei46882\setuptools\_vendor\jaraco\text\lorem ipsum.txt
- %TEMP%\_mei46882\unicodedata.pyd
- %TEMP%\_mei46882\win32\win32api.pyd
- %TEMP%\_mei46882\win32\win32evtlog.pyd
- %TEMP%\qqsw4biw
- %TEMP%\dleovooavefx.exe
- %ALLUSERSPROFILE%\auwwogeutozl\dnkafveflywl.exe
- %WINDIR%\temp\__psscriptpolicytest_tdnndsci.ab3.ps1
- %WINDIR%\temp\__psscriptpolicytest_zmkoty10.ucr.psm1
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-56-58-503.dump
- %WINDIR%\temp\__psscriptpolicytest_scajqs1x.mft.ps1
- %WINDIR%\temp\__psscriptpolicytest_5f4s22lz.sqf.psm1
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-56-58-811.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-56-58-933.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-56-59-147.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-56-59-192.dump
- %WINDIR%\temp\__psscriptpolicytest_4h4c0ijb.fer.ps1
- %WINDIR%\temp\__psscriptpolicytest_euvyjrpu.mkx.psm1
- %WINDIR%\temp\content\1260-4040-powershell.exe-18-56-59-355.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-56-59-411.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-56-59-455.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-56-59-498.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-56-59-594.dump
- %WINDIR%\temp\content\1260-4040-powershell.exe-18-56-59-701.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-56-59-755.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-56-59-831.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-56-59-949.dump
- %WINDIR%\temp\content\1260-4040-powershell.exe-18-56-59-958.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-56-59-989.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-57-00-013.dump
- %WINDIR%\temp\content\1260-4040-powershell.exe-18-57-00-013.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-57-00-034.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-57-00-063.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-57-00-087.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-57-00-108.dump
- %WINDIR%\temp\content\1260-4040-powershell.exe-18-57-00-139.dump
- %WINDIR%\temp\content\1260-4040-powershell.exe-18-57-00-248.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-57-00-499.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-57-00-566.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-57-00-602.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-57-00-610.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-57-00-655.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-57-00-676.dump
- %WINDIR%\temp\content\1064-3796-powershell.exe-18-57-00-748.dump
- <SYSTEM32>\config\systemprofile\appdata\local\microsoft\windows\powershell\startupprofiledata-noninteractive
- %WINDIR%\temp\wtrgzbhvwclv.sys
- %WINDIR%\temp\__psscriptpolicytest_li5vd2ed.ow2.ps1
- %WINDIR%\temp\__psscriptpolicytest_yi0gebds.zoq.psm1
- %WINDIR%\temp\content\4600-4904-powershell.exe-18-57-08-100.dump
- %WINDIR%\temp\content\4600-4904-powershell.exe-18-57-08-489.dump
- %WINDIR%\temp\content\4600-4904-powershell.exe-18-57-08-769.dump
- %WINDIR%\temp\content\4600-4904-powershell.exe-18-57-08-843.dump
- %WINDIR%\temp\content\4600-4904-powershell.exe-18-57-09-016.dump
- %WINDIR%\temp\content\4600-4904-powershell.exe-18-57-09-112.dump
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\dleovooavefx.exe
Удаляет файлы, которые сам же создал
- %TEMP%\qqsw4biw
- %TEMP%\dleovooavefx.exe
- %TEMP%\_mei46882\base_library.zip
- %TEMP%\_mei46882\crypto\cipher\_arc4.pyd
- %TEMP%\_mei46882\crypto\cipher\_chacha20.pyd
- %TEMP%\_mei46882\crypto\cipher\_pkcs1_decode.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_aes.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_aesni.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_arc2.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_blowfish.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_cast.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_cbc.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_cfb.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_ctr.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_des.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_des3.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_ecb.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_eksblowfish.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_ocb.pyd
- %TEMP%\_mei46882\crypto\cipher\_raw_ofb.pyd
- %TEMP%\_mei46882\crypto\cipher\_salsa20.pyd
- %TEMP%\_mei46882\crypto\hash\_blake2b.pyd
- %TEMP%\_mei46882\crypto\hash\_blake2s.pyd
- %TEMP%\_mei46882\crypto\hash\_ghash_clmul.pyd
- %TEMP%\_mei46882\crypto\hash\_ghash_portable.pyd
- %TEMP%\_mei46882\crypto\hash\_keccak.pyd
- %TEMP%\_mei46882\crypto\hash\_md2.pyd
- %TEMP%\_mei46882\crypto\hash\_md4.pyd
- %TEMP%\_mei46882\crypto\hash\_md5.pyd
- %TEMP%\_mei46882\crypto\hash\_poly1305.pyd
- %TEMP%\_mei46882\crypto\hash\_ripemd160.pyd
- %TEMP%\_mei46882\crypto\hash\_sha1.pyd
- %TEMP%\_mei46882\crypto\hash\_sha224.pyd
- %TEMP%\_mei46882\crypto\hash\_sha256.pyd
- %TEMP%\_mei46882\crypto\hash\_sha384.pyd
- %TEMP%\_mei46882\crypto\hash\_sha512.pyd
- %TEMP%\_mei46882\crypto\math\_modexp.pyd
- %TEMP%\_mei46882\crypto\protocol\_scrypt.pyd
- %TEMP%\_mei46882\crypto\publickey\_curve25519.pyd
- %TEMP%\_mei46882\crypto\publickey\_curve448.pyd
- %TEMP%\_mei46882\crypto\publickey\_ec_ws.pyd
- %TEMP%\_mei46882\crypto\publickey\_ed25519.pyd
- %TEMP%\_mei46882\crypto\publickey\_ed448.pyd
- %TEMP%\_mei46882\crypto\util\_cpuid_c.pyd
- %TEMP%\_mei46882\crypto\util\_strxor.pyd
- %TEMP%\_mei46882\importlib_metadata-8.7.1.dist-info\installer
- %TEMP%\_mei46882\importlib_metadata-8.7.1.dist-info\licenses\license
- %TEMP%\_mei46882\importlib_metadata-8.7.1.dist-info\metadata
- %TEMP%\_mei46882\importlib_metadata-8.7.1.dist-info\record
- %TEMP%\_mei46882\importlib_metadata-8.7.1.dist-info\top_level.txt
- %TEMP%\_mei46882\importlib_metadata-8.7.1.dist-info\wheel
- %TEMP%\_mei46882\libcrypto-3.dll
- %TEMP%\_mei46882\libffi-8.dll
- %TEMP%\_mei46882\libssl-3.dll
- %TEMP%\_mei46882\pyexpat.pyd
- %TEMP%\_mei46882\pyreadline3-3.5.4.dist-info\installer
- %TEMP%\_mei46882\pyreadline3-3.5.4.dist-info\license.md
- %TEMP%\_mei46882\pyreadline3-3.5.4.dist-info\metadata
- %TEMP%\_mei46882\pyreadline3-3.5.4.dist-info\record
- %TEMP%\_mei46882\pyreadline3-3.5.4.dist-info\top_level.txt
- %TEMP%\_mei46882\pyreadline3-3.5.4.dist-info\wheel
- %TEMP%\_mei46882\python312.dll
- %TEMP%\_mei46882\pywin32_system32\pywintypes312.dll
- %TEMP%\_mei46882\select.pyd
- %TEMP%\_mei46882\setuptools\_vendor\jaraco\text\lorem ipsum.txt
- %TEMP%\_mei46882\unicodedata.pyd
- %TEMP%\_mei46882\vcruntime140.dll
- %TEMP%\_mei46882\vcruntime140_1.dll
- %TEMP%\_mei46882\win32\win32api.pyd
- %TEMP%\_mei46882\win32\win32evtlog.pyd
- %TEMP%\_mei46882\_asyncio.pyd
- %TEMP%\_mei46882\_bz2.pyd
- %TEMP%\_mei46882\_cffi_backend.cp312-win_amd64.pyd
- %TEMP%\_mei46882\_ctypes.pyd
- %TEMP%\_mei46882\_decimal.pyd
- %TEMP%\_mei46882\_hashlib.pyd
- %TEMP%\_mei46882\_lzma.pyd
- %TEMP%\_mei46882\_multiprocessing.pyd
- %TEMP%\_mei46882\_overlapped.pyd
- %TEMP%\_mei46882\_queue.pyd
- %TEMP%\_mei46882\_socket.pyd
- %TEMP%\_mei46882\_ssl.pyd
- %TEMP%\_mei46882\_wmi.pyd
- %WINDIR%\temp\__psscriptpolicytest_tdnndsci.ab3.ps1
- %WINDIR%\temp\__psscriptpolicytest_zmkoty10.ucr.psm1
- %WINDIR%\temp\__psscriptpolicytest_scajqs1x.mft.ps1
- %WINDIR%\temp\__psscriptpolicytest_5f4s22lz.sqf.psm1
- %WINDIR%\temp\__psscriptpolicytest_4h4c0ijb.fer.ps1
- %WINDIR%\temp\__psscriptpolicytest_euvyjrpu.mkx.psm1
- <SYSTEM32>\tasks\dialersvc64
- %WINDIR%\temp\__psscriptpolicytest_li5vd2ed.ow2.ps1
- %WINDIR%\temp\__psscriptpolicytest_yi0gebds.zoq.psm1
Сетевая активность
Подключается к
- 'po##.#ashvault.pro':443
- 'po####n.therpc.io':443
- 'po######bor.publicnode.com':443
- '19#.#21.200.219':80
TCP
Запросы HTTP POST
- http://19#.#21.200.219/api/endpoint.php
Другие
- 'po##.#ashvault.pro':443
- 'po####n.therpc.io':443
- 'pa###bin.com':443
UDP
- DNS ASK po##.#ashvault.pro
- DNS ASK po####n.therpc.io
- DNS ASK po######bor.publicnode.com
- DNS ASK pa###bin.com
Другое
Создает и запускает на исполнение
- '%TEMP%\dleovooavefx.exe'
- '%ALLUSERSPROFILE%\auwwogeutozl\dnkafveflywl.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c wusa /uninstall /kb:890830 /quiet /norestart
- '<SYSTEM32>\sc.exe' stop UsoSvc
- '<SYSTEM32>\sc.exe' stop WaaSMedicSvc
- '<SYSTEM32>\wusa.exe' /uninstall /kb:890830 /quiet /norestart
- '<SYSTEM32>\sc.exe' stop wuauserv
- '<SYSTEM32>\sc.exe' stop bits
- '<SYSTEM32>\sc.exe' stop dosvc
- '<SYSTEM32>\powercfg.exe' /x -hibernate-timeout-ac 0
- '<SYSTEM32>\powercfg.exe' /x -hibernate-timeout-dc 0
- '<SYSTEM32>\powercfg.exe' /x -standby-timeout-ac 0
- '<SYSTEM32>\powercfg.exe' /x -standby-timeout-dc 0
- '<SYSTEM32>\dialer.exe'
- '<SYSTEM32>\sc.exe' delete "HTCEATZI"
- '<SYSTEM32>\sc.exe' create "HTCEATZI" binpath= "%ALLUSERSPROFILE%\auwwogeutozl\dnkafveflywl.exe" start= "auto"
- '<SYSTEM32>\sc.exe' stop eventlog
- '<SYSTEM32>\sc.exe' start "HTCEATZI"
- '<SYSTEM32>\dllhost.exe' /Processid:{9b8f4c51-19da-4bed-aca2-7e162db9b9d0}
- '<SYSTEM32>\dllhost.exe' /Processid:{df6d2e35-1008-48df-8cd1-b6bce7d48acb}
- '%TEMP%\dleovooavefx.exe' (со скрытым окном)
