Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Microsoft Windows Host' = '%HOMEPATH%\Pictures\svchost.exe'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsSvcHost' = '%LOCALAPPDATA%\Microsoft\WindowsApps\WindowsStore.Update.exe'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'hqoac' = '%ALLUSERSPROFILE%\gwlip.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windows security checks
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
- <SYSTEM32>\sihost.exe
- <SYSTEM32>\taskhostw.exe
- <SYSTEM32>\runtimebroker.exe
следующие пользовательские процессы:
- firefox.exe
- unfx proxy checker.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
Патчит код
в динамической библиотеке AMSI
- Процесс 5zxysih3.exe, модуль Amsi.dll
в динамической библиотеке NTDLL
- Процесс 5zxysih3.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tl6nzjxo.exe
- %TEMP%\p96cwfp5.exe
- %HOMEPATH%\pictures\svchost.exe
- %TEMP%\mn840ter.exe
- %LOCALAPPDATA%\microsoft\windowsapps\windowsstore.update.exe
- %TEMP%\vsruntime13605.tmp
- %TEMP%\r4a9jpo9.exe
- %TEMP%\is-u41yzt3d3s.tmp\r4a9jpo9.tmp
- %TEMP%\5zxysih3.exe
- %APPDATA%\microsoft\windows\services\winhost.exe
- %TEMP%\is-au6vwufxsn.tmp\_isetup\_setup64.tmp
- %TEMP%\is-au6vwufxsn.tmp\_isetup\_isdecmp.dll
- %TEMP%\0dl8g3e3.exe
- %TEMP%\gdq66p1k.exe
- %TEMP%\6hntpcty.exe
- %ALLUSERSPROFILE%\gwlip.exe
- %TEMP%\nst50d.tmp\system.dll
- %TEMP%\nst50d.tmp\app-64.7z
- %TEMP%\nst50d.tmp\nsis7z.dll
- %TEMP%\is-cek1j88oda.tmp\6hntpcty.tmp
- %TEMP%\kakttgjg.exe
- %TEMP%\is-lz5bmpqkz9.tmp\_isetup\_setup64.tmp
- %TEMP%\is-lz5bmpqkz9.tmp\_isetup\_isdecmp.dll
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\chrome_100_percent.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\chrome_200_percent.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\icudtl.dat
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\license.electron.txt
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\licenses.chromium.html
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\am.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\ar.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\bg.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\bn.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\ca.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\cs.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\da.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\de.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\el.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\en-gb.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\en-us.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\es-419.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\es.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\et.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\fa.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\fi.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\fil.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\fr.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\gu.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\he.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\hi.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\hr.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\hu.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\id.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\it.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\ja.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\kn.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\ko.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\lt.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\lv.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\ml.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\mr.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\ms.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\nb.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\nl.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\pl.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\pt-br.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\pt-pt.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\ro.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\ru.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\sk.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\sl.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\sr.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\sv.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\sw.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\ta.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\te.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\th.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\tr.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\uk.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\vi.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\zh-cn.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\locales\zh-tw.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\natives_blob.bin
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\resources.pak
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\resources\app-update.yml
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\resources\app.asar
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\resources\electron.asar
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\resources\files\geolite2-city.mmdb
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\snapshot_blob.bin
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\v8_context_snapshot.bin
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\d3dcompiler_47.dll
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\ffmpeg.dll
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\libegl.dll
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\libglesv2.dll
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\resources\elevate.exe
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\swiftshader\libegl.dll
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\swiftshader\libglesv2.dll
- %TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\unfx proxy checker.exe
- %TEMP%\nst50d.tmp\stdutils.dll
- %APPDATA%\unfx-proxy-checker\code cache\js\index
- %APPDATA%\unfx-proxy-checker\code cache\js\index-dir\temp-index
- %APPDATA%\unfx-proxy-checker\gpucache\index
- %APPDATA%\unfx-proxy-checker\gpucache\data_0
- %APPDATA%\unfx-proxy-checker\gpucache\data_1
- %APPDATA%\unfx-proxy-checker\gpucache\data_2
- %APPDATA%\unfx-proxy-checker\gpucache\data_3
- %APPDATA%\unfx-proxy-checker\3f976bb5-0e08-4962-a8ad-b3c7182148de.tmp
- %TEMP%\y1i7xfyn.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\pictures\svchost.exe
- %LOCALAPPDATA%\microsoft\windowsapps\windowsstore.update.exe
- %TEMP%\vsruntime13605.tmp
- %APPDATA%\microsoft\windows\services\winhost.exe
- %TEMP%\6hntpcty.exe
- %ALLUSERSPROFILE%\gwlip.exe
- %TEMP%\y1i7xfyn.exe
Удаляет файлы, которые сам же создал
- %TEMP%\tl6nzjxo.exe
- %TEMP%\p96cwfp5.exe
- %TEMP%\mn840ter.exe
- %TEMP%\r4a9jpo9.exe
- %TEMP%\5zxysih3.exe
- %TEMP%\0dl8g3e3.exe
- %TEMP%\gdq66p1k.exe
Перемещает следующие файлы
- %APPDATA%\unfx-proxy-checker\code cache\js\index-dir\temp-index в %APPDATA%\unfx-proxy-checker\code cache\js\index-dir\the-real-index
- %APPDATA%\unfx-proxy-checker\3f976bb5-0e08-4962-a8ad-b3c7182148de.tmp в %APPDATA%\unfx-proxy-checker\network persistent state
Сетевая активность
Подключается к
- '19#.#51.107.130':80
- '62.##.226.159':80
- 'ap#.##enproxy.space':443
- 'ap#.#ithub.com':443
TCP
Запросы HTTP GET
- http://62.##.226.159/data.php?hw#################################################################################################################################################################...
Запросы HTTP POST
- http://19#.#51.107.130/16b022998f754137b60a.php
- http://62.##.226.159/xvzpjyddlu/getdata.php
Другие
- 'ap#.#ithub.com':443
- 'ap#.##enproxy.space':443
UDP
- DNS ASK ap#.#ithub.com
- DNS ASK ap#.##enproxy.space
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\tl6nzjxo.exe'
- '%TEMP%\p96cwfp5.exe'
- '%TEMP%\mn840ter.exe'
- '%TEMP%\r4a9jpo9.exe'
- '%TEMP%\is-u41yzt3d3s.tmp\r4a9jpo9.tmp' /SL5="$1701C8,4658119,905216,%TEMP%\r4a9jpo9.exe"
- '%TEMP%\5zxysih3.exe'
- '%TEMP%\0dl8g3e3.exe'
- '%TEMP%\gdq66p1k.exe'
- '%TEMP%\6hntpcty.exe'
- '%ALLUSERSPROFILE%\gwlip.exe'
- '%TEMP%\is-cek1j88oda.tmp\6hntpcty.tmp' /SL5="$80042,4658119,905216,%TEMP%\6hntpcty.exe"
- '%TEMP%\kakttgjg.exe'
- '%TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\unfx proxy checker.exe'
- '%TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\unfx proxy checker.exe' --type=gpu-process --field-trial-handle=1772,11298511731248737079,12504920545839101230,131072 --disable-features=LayoutNG,SpareRendererForSitePerProcess --gpu-preferences=IAAAAAAAAADgAAAgAAAAAA...
- '%TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\unfx proxy checker.exe' --type=renderer --field-trial-handle=1772,11298511731248737079,12504920545839101230,131072 --disable-features=LayoutNG,SpareRendererForSitePerProcess --lang=en-US --app-path="%TEMP%\1RQJ0QEu61G...
- '%TEMP%\1rqj0qeu61gy1gaagpkchng1i6t\unfx proxy checker.exe' --type=gpu-process --field-trial-handle=1772,11298511731248737079,12504920545839101230,131072 --disable-features=LayoutNG,SpareRendererForSitePerProcess --disable-gpu-sandbox --use-gl=disabled ...
- '%TEMP%\y1i7xfyn.exe'
Запускает на исполнение
- '%ALLUSERSPROFILE%\gwlip.exe' (со скрытым окном)
- '%TEMP%\kakttgjg.exe' (со скрытым окном)
