Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{9424D614-4115-A129-B9E9-B9872C616801}' = '"%APPDATA%\Geohq\mahoy.exe"'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\ctfmon.exe' = '<SYSTEM32>\ctfmon.exe:*:Enabled:ctfmon.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\explorer.exe' = '%WINDIR%\explorer.exe:*:Enabled:explorer.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%APPDATA%\Geohq\mahoy.exe' = '%APPDATA%\Geohq\mahoy.exe:*:Enabled:mahoy.exe'
Создает и запускает на исполнение:
- '%APPDATA%\Geohq\mahoy.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\ctfmon.exe
большое количество пользовательских процессов.
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1609' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1406' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Uwgiy\widyr.ety
- %TEMP%\tmp4b4b1ea1.bat
- %APPDATA%\Geohq\mahoy.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'es###siness.com':80
TCP:
Запросы HTTP GET:
- es###siness.com/wp-content/themes/covertstorebuilder/css/plugin.dat
UDP:
- DNS ASK es###siness.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
