Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\8dfut
Вредоносные функции
Патчит код
в динамической библиотеке NTDLL
- Процесс hidg.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\w1fdby\4qkow0.exe
- C:\users\public\w1fdby\uxenhance64.dll
- C:\users\public\w1fdby\msadox.tb
- C:\users\public\w1fdby\adoresd.dat
- %WINDIR%\temp\ranchserv.jpg
- unc\localhost\pipe\atsvc
Присваивает атрибут 'скрытый' для следующих файлов
- C:\users\public\w1fdby\4qkow0.exe
- C:\users\public\w1fdby\uxenhance64.dll
- C:\users\public\w1fdby\msadox.tb
- C:\users\public\w1fdby\adoresd.dat
Сетевая активность
Подключается к
- 'z6####.###-cn-beijing.aliyuncs.com':443
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?8f##############
Другие
- 'z6####.###-cn-beijing.aliyuncs.com':443
UDP
- DNS ASK z6####.###-cn-beijing.aliyuncs.com
Другое
Создает и запускает на исполнение
- 'C:\users\public\w1fdby\4qkow0.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c icacls "C:\Users\Public\w1FdbY" /inheritance:r (со скрытым окном)
- '<SYSTEM32>\icacls.exe' "C:\Users\Public\w1FdbY" /inheritance:r
- '<SYSTEM32>\cmd.exe' /c icacls "C:\Users\Public\w1FdbY" /grant:r Administrators:(OI)(CI)F /grant:r SYSTEM:(OI)(CI)F (со скрытым окном)
- '<SYSTEM32>\icacls.exe' "C:\Users\Public\w1FdbY" /grant:r Administrators:(OI)(CI)F /grant:r SYSTEM:(OI)(CI)F
- '<SYSTEM32>\cmd.exe' /c icacls "C:\Users\Public\w1FdbY" /grant:r Users:(OI)(CI)(RX) /deny Users:(OI)(CI)(DC) (со скрытым окном)
