Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,%APPDATA%\WindowsControl\WindowsControl.exe,'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\svchost
- <SYSTEM32>\tasks\windowscontrolw
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\oobe\useroobebroker.exe
- <SYSTEM32>\runtimebroker.exe
- <SYSTEM32>\taskhostw.exe
- <SYSTEM32>\spoolsv.exe
- <SYSTEM32>\dllhost.exe
- <SYSTEM32>\sppextcomobj.exe
- <SYSTEM32>\lsass.exe
- <SYSTEM32>\wudfhost.exe
- %WINDIR%\systemapps\microsoft.windows.startmenuexperiencehost_cw5n1h2txyewy\startmenuexperiencehost.exe
- <SYSTEM32>\fontdrvhost.exe
- <SYSTEM32>\wbem\wmiprvse.exe
- %WINDIR%\systemapps\microsoft.windows.search_cw5n1h2txyewy\searchapp.exe
- <SYSTEM32>\winlogon.exe
- <SYSTEM32>\securityhealthsystray.exe
- <SYSTEM32>\sihost.exe
- <SYSTEM32>\dwm.exe
- <SYSTEM32>\cmd.exe
- <SYSTEM32>\slui.exe
- <SYSTEM32>\conhost.exe
- <SYSTEM32>\schtasks.exe
следующие пользовательские процессы:
- firefox.exe
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль advapi32.dll
- Процесс iexplore.exe, модуль advapi32.dll
Патчит код
в динамической библиотеке
- Процесс ihgdfhi.exe, модуль KERNEL32.dll
- Процесс ihgdfhi.exe, модуль KERNELBASE.dll
- Процесс runtimebroker.exe, модуль ADVAPI32.dll
- Процесс lsass.exe, модуль win32u.dll
- Процесс cmd.exe, модуль SECHOST.dll
- Процесс cmd.exe, модуль ADVAPI32.dll
- Процесс cmd.exe, модуль win32u.dll
- Процесс windowscontrol.exe, модуль KERNEL32.dll
- Процесс windowscontrol.exe, модуль KERNELBASE.dll
- Процесс schtasks.exe, модуль SECHOST.dll
- Процесс schtasks.exe, модуль ADVAPI32.dll
- Процесс schtasks.exe, модуль win32u.dll
- Процесс slui.exe, модуль SECHOST.dll
- Процесс slui.exe, модуль ADVAPI32.dll
- Процесс slui.exe, модуль win32u.dll
в динамической библиотеке AMSI
- Процесс ihgdfhi.exe, модуль Amsi.dll
- Процесс windowscontrol.exe, модуль Amsi.dll
в динамической библиотеке NTDLL
- Процесс ihgdfhi.exe, модуль ntdll.dll
- Процесс cmd.exe, модуль ntdll.dll
- Процесс windowscontrol.exe, модуль ntdll.dll
- Процесс schtasks.exe, модуль ntdll.dll
- Процесс slui.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\4872-960-<Имя файла>.exe-16-17-59-465.dump
- %APPDATA%\windowscontrol\windowscontrol.exe
- %TEMP%\$77temp\893bb2a1-6f62-4494-9e23-3cb40f1e563e.dll
- %TEMP%\$77temp\cfbf4298-3d53-4dd1-a6e8-b202dff6f393.dll
- %TEMP%\$77temp\c1f9ab01-1a31-48eb-b1ae-66ecf22d055d.dll
- %TEMP%\$77temp\651bd9cc-39c0-49fb-a1fa-fe189bcab526.dll
- %TEMP%\$77temp\bb2f17cb-0648-4255-99e5-d5528d4d4151.dll
- %TEMP%\$77temp\e9d1a03d-81de-4925-b9a9-0b4df9da8648.dll
- %TEMP%\$77temp\2c3b4978-f519-437c-a6a4-ce3a65d73c40.dll
- %TEMP%\$77temp\2b70a221-a064-465a-a260-41a7bccde829.dll
- %TEMP%\$77temp\8f370deb-708b-42cd-ba2b-6e3081a3545b.dll
- %TEMP%\$77temp\59e66574-8797-41a1-940a-1d4f2b7f0de7.dll
- %TEMP%\$77temp\0f9cde88-e0eb-4ae8-8218-862f1b4fe9b8.dll
- %TEMP%\$77temp\d07475e9-aeec-442a-8c68-5a409d5acd8e.dll
- %TEMP%\$77temp\704b8e2f-f697-4930-9b37-b194d7f7f69d.dll
- %TEMP%\$77temp\bbc4ed05-1668-4e55-8c7c-f4af9d519bad.dll
- %TEMP%\$77temp\a95be4ef-a199-49fd-9c92-032bd54cbc8f.dll
- %TEMP%\$77temp\2bd5834c-1a65-4e1f-8e39-6fc617f884cf.dll
- %TEMP%\$77temp\8fed4fe0-c776-439d-9af2-454e26ff2bc9.dll
- %TEMP%\$77temp\78fb0039-9a1f-4b6c-a176-2c9e61ba8203.dll
- %TEMP%\$77temp\599a6972-5d5e-4f1e-9a49-fcf0bbb3a2aa.dll
- %TEMP%\$77temp\e0a314d5-1660-4c50-b899-7af9a1921a3b.dll
- %TEMP%\$77temp\4a060cf3-ecf5-4ebd-96fc-30d6024139bc.dll
- %TEMP%\$77temp\c31831ab-a1ce-45e2-94b1-a82377995676.dll
- %TEMP%\$77temp\2fbf64b1-1a37-4412-abbb-d2ab42310bbb.dll
- %TEMP%\$77temp\d36957de-009a-4c96-b370-899e0497af59.dll
- %TEMP%\$77temp\056029ae-3f17-4c0b-b21c-472f684c1151.dll
- %TEMP%\$77temp\df19e18c-8b86-407a-82be-8934b2aa6821.dll
- %TEMP%\$77temp\890c4947-7e15-4c91-a663-bd649b6f8a58.dll
- %TEMP%\$77temp\09b11925-aa1b-4704-8195-de9767066550.dll
- %TEMP%\$77temp\ba2b0ddd-2f8a-4d0b-9908-964a7abeae53.dll
- %TEMP%\$77temp\295cc50b-1325-4322-a4c6-ce8de556e806.dll
- %TEMP%\$77temp\baa9c675-ea6b-4c8a-a459-38706ce61a33.dll
- %TEMP%\$77temp\bd3de5ab-0563-4557-abea-ea08f4f63da1.dll
- %TEMP%\$77temp\a03d3b18-c686-46a4-b294-ebea1c896dc9.dll
- %TEMP%\$77temp\a1d5d01a-6f11-4e34-a34a-41c33d2407e7.dll
- %TEMP%\$77temp\505ff8c5-0064-48e7-b566-5552caa609fa.dll
- %TEMP%\$77temp\b779dd33-e60f-4170-ba96-c439877ad0fe.dll
- %TEMP%\$77temp\9377e917-bf71-4857-8a84-d7aba9681262.dll
- %TEMP%\$77temp\c06b20f9-af52-4d40-8c7b-be39176a5906.dll
- %TEMP%\$77temp\09438a3a-e4f1-40cf-b633-397e5f815e47.dll
- %TEMP%\$77temp\9963c575-84ef-4b82-8a08-c71bdc796372.dll
- %TEMP%\$77temp\40139232-c3cb-4310-affc-75f4fb7b1a9d.dll
- %TEMP%\$77temp\9fc6aaf4-f9c4-4179-8a45-f44cf05d4899.dll
- %TEMP%\$77temp\6907249b-0f4d-452f-8ffd-d4fd099bb99c.dll
- %TEMP%\$77temp\ddf5d197-d31c-46c4-9dd4-35dcaf9bca96.dll
- %TEMP%\$77temp\5d9690b7-2d31-472f-80ae-dbeb2accc727.dll
- %TEMP%\$77temp\1d33dadb-0ca8-48d9-b5ac-d630f9b29727.dll
- %TEMP%\$77temp\70f0c96a-c412-4680-95e4-2f955b568d69.dll
- %TEMP%\$77temp\8feced19-9bd3-43f1-b1dd-abd2f0d8e3ab.dll
- %TEMP%\$77temp\bf86158b-88ab-4d86-bb68-f9ba359aa514.dll
- %TEMP%\$77temp\5ab6275d-4300-4388-b5ee-bdd588dc8fd5.dll
- %TEMP%\$77temp\c991fbc0-64c5-4dc1-b05a-a6a102da3910.dll
- %TEMP%\$77temp\816c5dac-caf0-4e1e-bc88-a5a54726352b.dll
- %TEMP%\$77temp\ee890a1d-7d51-42c7-be10-bc235506a7ff.dll
- %TEMP%\$77temp\2213c700-e818-4bec-90d6-7b409cb8c406.dll
- %TEMP%\$77temp\712b0da7-5f76-47d8-aa77-bf2bd5950150.dll
- %TEMP%\$77temp\4e433484-7dc9-4893-87ef-848c066e6184.dll
- %TEMP%\$77temp\73cb9fa2-e58d-4d99-a5ee-e94660e4eb0b.dll
- %TEMP%\$77temp\a21a541f-5e82-4315-8c32-809d5f4aeb5d.dll
- %TEMP%\$77temp\cea624ca-d06a-46b6-817b-b8aae38f1a21.dll
- %TEMP%\$77temp\60bde59b-ab7e-40b9-9a58-a79dc6739ee7.dll
- %TEMP%\$77temp\ad7f6768-fa48-4efc-9fa2-06797b83b33e.dll
- %TEMP%\$77temp\e67914af-74a7-4960-8143-050b25ff8d4a.dll
- %TEMP%\$77temp\5658ecf8-ab65-4ef0-85cb-cb1b0ea7cf75.dll
- %TEMP%\$77temp\72cbc78d-c2e9-4beb-970a-a205141fc761.dll
- %APPDATA%\windowscontrol\windowscontrolw.exe
- %TEMP%\$77temp\33776a75-9833-48f7-9f59-2a79a2e84e60.dll
- %TEMP%\$77temp\c82a4e5c-4a62-48a0-a873-009337d8989d.dll
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
- %TEMP%\content\896-6068-windowscontrol.exe-16-18-28-398.dump
- %TEMP%\$77temp\26450084-8adc-46e0-894c-6fa8a42651cf.dll
- %TEMP%\$77temp\23d223be-76b7-4033-bde7-838ec1735412.dll
- %TEMP%\$77temp\b879a6c2-bf2c-4616-a4ec-f55a71b54f6c.dll
- %TEMP%\$77temp\d6af8325-8721-480e-a34a-0ed6202886e8.dll
- %TEMP%\$77temp\bfde3d12-520e-4b50-b451-442a1e6a3604.dll
- %TEMP%\$77temp\3f363f22-6dc8-414a-8ead-95cd6dba4ddc.dll
- %TEMP%\$77temp\adce86b0-ff37-4104-8e18-346c9e5a21de.dll
- %TEMP%\$77temp\d4d73958-b240-4a88-a478-111937cadef7.dll
- %TEMP%\$77temp\58a42a67-9ef5-481d-98b5-1810fa861de8.dll
- %TEMP%\$77temp\babc51e1-a9e5-4215-ad7e-52ff960e7064.dll
- %TEMP%\$77temp\4d9b1ccc-5e6a-4f27-8ece-8d121fd05d3a.dll
- %TEMP%\$77temp\67212800-0e38-4e38-a5bb-e517388c480e.dll
- %TEMP%\$77temp\db63aa40-a890-4a3b-9dba-1052565a63d0.dll
- %TEMP%\$77temp\63d3d9c6-709c-4f11-880e-8614b04d4bc3.dll
- %TEMP%\$77temp\83a948db-f55a-425d-a44a-8df76efdf086.dll
- %TEMP%\$77temp\cecf9282-2a17-4e3b-a6dd-2214f4588bba.dll
- %TEMP%\$77temp\35ebbd74-d830-4d67-aebd-b8627a545d30.dll
- %TEMP%\$77temp\350855b5-d091-4092-99e0-155474c67ab7.dll
- %TEMP%\$77temp\0414e680-a04b-457e-a8a8-ac80483b1c29.dll
- %TEMP%\$77temp\1e520482-02c6-4c6b-995a-440c3d354671.dll
- %TEMP%\$77temp\373a0867-d1c7-44a7-a978-67f196aeeff5.dll
- %TEMP%\$77temp\2cccc73c-cddc-469e-908f-e46c20f87170.dll
- %TEMP%\$77temp\4b3ab794-6918-4394-b301-51b0490a234e.dll
- %TEMP%\$77temp\7acc0660-d237-4677-a804-4b2510dac99c.dll
- %TEMP%\$77temp\30e1fc7f-3bfa-4719-a87f-8f8abdae6d3c.dll
- %TEMP%\$77temp\0b7c82c6-a64b-4ad6-b13f-2be67b014515.dll
- %TEMP%\$77temp\fedf0539-ba9d-4e6e-baf2-8be424a6b142.dll
- %TEMP%\$77temp\baa72692-7fae-4533-878a-ea995da7b611.dll
- %TEMP%\$77temp\03cddf77-acbc-47bc-90de-85dd11573fd3.dll
- %TEMP%\$77temp\42dcf5d6-fb9f-47b8-8b92-3c735687db69.dll
- %TEMP%\$77temp\fbfa2edc-2954-4211-bd64-9d1697d0e75c.dll
- %TEMP%\$77temp\70b8f85d-8635-4fc4-96a3-fb8e2682b64b.dll
- %TEMP%\$77temp\08b42ba0-3cfe-4503-80c6-cc4fd6b5f4e4.dll
- %TEMP%\$77temp\3f3b0487-6d6c-417a-b37e-d182c0f6c70e.dll
- %TEMP%\$77temp\158e23b5-f128-4353-85ec-16d40c7e428b.dll
- %TEMP%\$77temp\010a8449-16cf-4cd4-ad4b-ca8d9330e5ff.dll
- %TEMP%\$77temp\5d43c397-c3dc-461d-9f68-e5bb3eb284f1.dll
- %TEMP%\$77temp\00363cd2-543a-49e7-8448-2208acebb45b.dll
- %TEMP%\$77temp\af287775-b2d8-44a4-87f4-ea20270e8d7a.dll
- %TEMP%\$77temp\e5fdaa46-aaeb-4d4a-8efd-8beeead67362.dll
- %TEMP%\$77temp\24f5e63f-55ba-4b3c-aefa-9346571b0086.dll
- %TEMP%\$77temp\bcf997df-b02e-471d-91b7-a5532c9e38fd.dll
- %TEMP%\$77temp\d2bb9448-b855-414d-9b16-8b48b35e9cda.dll
- %TEMP%\$77temp\ca91650b-3c7b-4b58-9794-a9878a08d1fb.dll
- %TEMP%\$77temp\3cd0f775-5979-4205-9bfe-ff8ddaa3f664.dll
- %TEMP%\$77temp\e0953169-ddbb-4122-b3d7-8625993788c0.dll
- %TEMP%\$77temp\ba81b149-5662-4dc8-8b28-586b0c511c07.dll
- %TEMP%\$77temp\c1041ce4-e364-4874-a5c0-d5f38e525300.dll
- %TEMP%\$77temp\c0668289-12e7-4ca2-99e9-20042a1fe0e2.dll
- %TEMP%\$77temp\7cb108f1-2aac-4e70-9e9c-96a5c5daaec2.dll
- %TEMP%\$77temp\0c494679-114c-42e0-a754-b1f774259bfb.dll
- %TEMP%\$77temp\b35dfe73-5e78-4408-ba53-c315d1463c56.dll
- %TEMP%\$77temp\49be2cff-fa30-4be9-96b6-f6babcb60d5d.dll
- %TEMP%\$77temp\edd7ab56-8c74-419a-8ce9-f424f34b769b.dll
- %TEMP%\$77temp\62356771-dd1e-42ea-ba91-66f4f1f0ec79.dll
- %TEMP%\$77temp\ba887553-a538-419e-9801-d5f8bf76f42c.dll
- %TEMP%\$77temp\3733a524-2506-44cf-9573-bb72493332aa.dll
- %TEMP%\$77temp\2fb784fa-6b56-4b40-b25c-868a0c14b875.dll
- %TEMP%\$77temp\50758ba9-89db-4dcf-ac27-2dc88b265b4d.dll
- %TEMP%\$77temp\89e1a27e-29a5-4a2d-a451-c581a444f8e9.dll
- %TEMP%\$77temp\3c28f707-b997-4867-aa12-459769221b17.dll
- %TEMP%\$77temp\1f9f1cc7-c9d2-41e3-92c3-feb8ba57282b.dll
- %TEMP%\$77temp\8eb3e418-29e5-4bd3-acf8-18fe8e2a6f3d.dll
- %TEMP%\$77temp\368870b0-47bc-4033-ab2d-817c78bccaa3.dll
- %TEMP%\$77temp\241ba2cc-2bc2-461e-a227-8fcf05b19793.dll
- %TEMP%\$77temp\a5f220e5-9d3e-4023-9798-67b4c4322b47.dll
- %TEMP%\$77temp\221fc08b-c9b8-4154-975e-b4130c18aba6.dll
- %TEMP%\$77temp\f0c6021d-d210-42fe-a72e-54a6d50a0f26.dll
- %TEMP%\$77temp\36b661fa-50a9-4dd5-9186-0a0dedc5cc28.dll
- %TEMP%\$77temp\b79ac7b6-3907-4213-b3a8-a602d317c4b9.dll
Удаляет файлы, которые сам же создал
- <SYSTEM32>\tasks\svchost
Сетевая активность
Подключается к
- '94.##6.179.152':8989
UDP
- DNS ASK ip##pi.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\windowscontrol\windowscontrol.exe'
Запускает на исполнение
- '<SYSTEM32>\sc.exe' stop WinDefend
- '<SYSTEM32>\sc.exe' config WinDefend start= demand
- '<SYSTEM32>\cmd.exe' netsh advfirewall firewall add rule name="WindowsControl" dir=in action=allow program="%APPDATA%\WindowsControl\WindowsControl.exe" enable=yes & exit
- '<SYSTEM32>\cmd.exe' /c schtasks /delete /F /TN "svchost" & exit
- '<SYSTEM32>\cmd.exe' /c schtasks /create /f /sc onlogon /tn "svchost" /tr "%APPDATA%\WindowsControl\WindowsControl.exe" & exit
- '<SYSTEM32>\schtasks.exe' /delete /F /TN "svchost"
- '<SYSTEM32>\schtasks.exe' /create /f /sc onlogon /tn "svchost" /tr "%APPDATA%\WindowsControl\WindowsControl.exe"
- '<SYSTEM32>\cmd.exe' /c schtasks /create /f /sc minute /mo 30 /tn "WindowsControlW" /tr "%APPDATA%\WindowsControl\WindowsControlW.exe" /RL HIGHEST & exit
- '<SYSTEM32>\schtasks.exe' /create /f /sc minute /mo 30 /tn "WindowsControlW" /tr "%APPDATA%\WindowsControl\WindowsControlW.exe" /RL HIGHEST
