Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\prothread_net35
- %WINDIR%\tasks\memory_framework_arm.job
- <SYSTEM32>\tasks\memory_framework_arm
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- binarydoc.exe
- chime.exe
Патчит код
в динамической библиотеке
- Процесс adapterdigital.exe, модуль tapisrv.dll
- Процесс adapterdigital.exe, модуль Input.dll
- Процесс adapterdigital.exe, модуль XmlLite.dll
- Процесс adapterdigital.exe, модуль RPCRT4.dll
- Процесс binarydoc.exe, модуль KERNEL32.dll
в динамической библиотеке AMSI
- Процесс binarydoc.exe, модуль Amsi.dll
в динамической библиотеке NTDLL
- Процесс binarydoc.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\is-h166f.tmp\<Имя файла>.tmp
- %TEMP%\is-58emh.tmp\_isetup\_setup64.tmp
- %TEMP%\is-58emh.tmp\adapterdigital.exe
- %TEMP%\is-58emh.tmp\easyhook64.dll
- %TEMP%\is-58emh.tmp\factory-bench.rc
- %TEMP%\is-58emh.tmp\git2-a2bde63.dll
- %TEMP%\is-58emh.tmp\pipeline64.dat
- %ALLUSERSPROFILE%\iotprofiler\adapterdigital.exe
- %ALLUSERSPROFILE%\iotprofiler\easyhook64.dll
- %ALLUSERSPROFILE%\iotprofiler\git2-a2bde63.dll
- %ALLUSERSPROFILE%\iotprofiler\pipeline64.dat
- %ALLUSERSPROFILE%\iotprofiler\factory-bench.rc
- %APPDATA%\iotprofiler\chime.exe
- %TEMP%\7d824d9.tmp
- %TEMP%\8d43564.tmp
- %ALLUSERSPROFILE%\binarydoc.exe
- %TEMP%\a3a4cd5.tmp
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\s-1-5-18\d42cc0c3858a58db2db37658219e6400_8cf7b530-613e-439b-a8c5-ccfc0e745400
Удаляет файлы, которые сам же создал
- %TEMP%\is-58emh.tmp\adapterdigital.exe
- %TEMP%\is-58emh.tmp\easyhook64.dll
- %TEMP%\is-58emh.tmp\factory-bench.rc
- %TEMP%\is-58emh.tmp\git2-a2bde63.dll
- %TEMP%\is-58emh.tmp\pipeline64.dat
- %TEMP%\is-58emh.tmp\_isetup\_setup64.tmp
- %TEMP%\is-h166f.tmp\<Имя файла>.tmp
- %TEMP%\7d824d9.tmp
Подменяет следующие файлы
- %TEMP%\7d824d9.tmp
Сетевая активность
Подключается к
- '14#.31.4.83':57666
- '14#.31.4.83':57777
- '14#.31.4.83':57888
Другое
Создает и запускает на исполнение
- '%TEMP%\is-h166f.tmp\<Имя файла>.tmp' /SL5="$1501B8,3453935,882176,<Полный путь к файлу>"
- '%TEMP%\is-58emh.tmp\adapterdigital.exe'
- '%ALLUSERSPROFILE%\iotprofiler\adapterdigital.exe'
- '%ALLUSERSPROFILE%\binarydoc.exe'
- '%APPDATA%\iotprofiler\chime.exe'
