Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Mapyed' = '"%TEMP%\Gocao\mapyed.exe"'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\ec0627784666b46a] 'Start' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\ec0627784666b46a] 'ImagePath' = '<DRIVERS>\ec0627784666b46a.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\277c6] 'Start' = '00000001'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Создает и запускает на исполнение:
- '%TEMP%\Gocao\mapyed.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtOpenThread, драйвер-обработчик: ec0627784666b46a.sys
- NtOpenProcess, драйвер-обработчик: ec0627784666b46a.sys
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\apugb.xoi
- %TEMP%\VBUC14.bat
- <DRIVERS>\ec0627784666b46a.sys
- %TEMP%\Gocao\mapyed.exe
- <DRIVERS>\277c6.sys
Удаляет следующие файлы:
- <DRIVERS>\277c6.sys
Самоудаляется.
Сетевая активность:
UDP:
- '76.#.255.60':1078
- '65.##8.242.189':1070
- '17#.#45.217.122':2943
- '94.##8.155.42':4713
- '18#.#2.179.247':8017
- '20#.#15.180.235':1547
- '10#.#86.171.110':1938
- '81.##9.50.26':3601
- '21#.#24.91.70':5245
- '81.##9.44.36':4167
- '81.##9.88.233':2879
- '19#.#6.101.27':2116
- '13#.#7.198.90':3711
- '99.##.173.219':8302
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'demember' WindowName: ''
