Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Ulef' = '"%TEMP%\Ofzuor\ulef.exe"'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\a399fefefdfa7796] 'Start' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\a399fefefdfa7796] 'ImagePath' = '<DRIVERS>\a399fefefdfa7796.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\27e2f] 'Start' = '00000001'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Создает и запускает на исполнение:
- '%TEMP%\Ofzuor\ulef.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtOpenThread, драйвер-обработчик: a399fefefdfa7796.sys
- NtOpenProcess, драйвер-обработчик: a399fefefdfa7796.sys
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\eqho.ifp
- %TEMP%\NPX73D4.bat
- <DRIVERS>\a399fefefdfa7796.sys
- %TEMP%\Ofzuor\ulef.exe
- <DRIVERS>\27e2f.sys
Удаляет следующие файлы:
- <DRIVERS>\27e2f.sys
Самоудаляется.
Сетевая активность:
UDP:
- '85.#00.41.9':8835
- '99.##.173.219':8302
- '61.#8.200.5':3397
- '10#.#4.30.223':6215
- '19#.#7.198.162':2096
- '17#.#45.217.122':2943
- '18#.159.2.2':4316
- '17#.#9.110.91':1442
- '17#.#6.157.26':6705
- '85.##.52.205':4199
- '11#.#00.233.38':3426
- '68.##7.193.98':2489
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
