Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\W32Time] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\w32time] 'ImagePath' = '<SYSTEM32>\svchost.exe -k LocalService'
Создает следующие сервисы
- 'w32time' <SYSTEM32>\svchost.exe -k LocalService
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\net.exe' stop w32time
Изменения в файловой системе
Самоперемещается
- из <Полный путь к файлу> в <Текущая директория>\microsoft edge.exe
Сетевая активность
Подключается к
- 'localhost':49694
- 'ke##uth.win':443
- 'x1.#.lencr.org':80
- 'e8.#.lencr.org':80
TCP
Запросы HTTP GET
- http://e8.#.lencr.org/41.crl
Другие
- 'localhost':49694
- 'localhost':49695
- 'ke##uth.win':443
UDP
- DNS ASK Google.com
- DNS ASK ke##uth.win
- DNS ASK x1.#.lencr.org
- DNS ASK e8.#.lencr.org
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c net stop w32time 2>nul
- '<SYSTEM32>\net1.exe' stop w32time
- '<SYSTEM32>\cmd.exe' /c w32tm /unregister 2>nul
- '<SYSTEM32>\w32tm.exe' /unregister
- '<SYSTEM32>\cmd.exe' /c w32tm /register 2>nul
- '<SYSTEM32>\w32tm.exe' /register
- '<SYSTEM32>\cmd.exe' /c net start w32time 2>nul
- '<SYSTEM32>\net.exe' start w32time
- '<SYSTEM32>\net1.exe' start w32time
- '<SYSTEM32>\cmd.exe' /c w32tm /resync 2>nul
- '<SYSTEM32>\w32tm.exe' /resync
- '<SYSTEM32>\cmd.exe' /c certutil -hashfile "<Полный путь к файлу>" MD5 | find /i /v "md5" | find /i /v "certutil"
- '<SYSTEM32>\certutil.exe' -hashfile "<Полный путь к файлу>" MD5
- '<SYSTEM32>\find.exe' /i /v "md5"
- '<SYSTEM32>\find.exe' /i /v "certutil"
