Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\AarSvc_1f6f46] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\AarSvc_1f6f46] 'ImagePath' = 'cmd /c cd /d "<SYSTEM32>" && start "" "%ALLUSERSPROFILE%\DataExplorer\DataExplorer.exe"'
Создает следующие сервисы
- 'AarSvc_1f6f46' cmd /c cd /d "<SYSTEM32>" && start "" "%ALLUSERSPROFILE%\DataExplorer\DataExplorer.exe"
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\backgroundtaskhost.exe
Перехватывает управление с помощью отладочных регистров
в динамической библиотеке
- Процесс drqa.exe, модуль USER32.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\us investment portfolio strategy c组.pptx
- %LOCALAPPDATA%\kmfugom3\padding\data.dat
- %ALLUSERSPROFILE%\dataexplorer\dataexplorer.exe
- %ALLUSERSPROFILE%\dataexplorer\beqbxw32.dll
- %ALLUSERSPROFILE%\dataexplorer\cache.pmt
Сетевая активность
Подключается к
- '15#.#6.166.124':998
TCP
Другие
- '15#.#6.166.124':998
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\dataexplorer\dataexplorer.exe'
Запускает на исполнение
- '%WINDIR%\explorer.exe' "%TEMP%\US Investment Portfolio Strategy C组.pptx"
- '<SYSTEM32>\perceptionsimulation\perceptionsimulationservice.exe'
- '%WINDIR%\syswow64\backgroundtaskhost.exe'
