Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Cyif' = '"%TEMP%\Ewew\cyif.exe"'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\91cba54dec2c7b8e] 'Start' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\91cba54dec2c7b8e] 'ImagePath' = '<DRIVERS>\91cba54dec2c7b8e.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\2f60e] 'Start' = '00000001'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Создает и запускает на исполнение:
- '%TEMP%\Ewew\cyif.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\ctfmon.exe
большое количество пользовательских процессов.
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtOpenThread, драйвер-обработчик: 91cba54dec2c7b8e.sys
- NtOpenProcess, драйвер-обработчик: 91cba54dec2c7b8e.sys
Изменения в файловой системе:
Создает следующие файлы:
- <DRIVERS>\91cba54dec2c7b8e.sys
- %APPDATA%\ceyj.uzs
- %TEMP%\Ewew\cyif.exe
- <DRIVERS>\2f60e.sys
Удаляет следующие файлы:
- <DRIVERS>\2f60e.sys
Сетевая активность:
UDP:
- '10#.#53.212.95':4808
- '20#.#05.112.231':2718
- '23.##.64.182':7013
- '13#.#1.18.14':2202
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
