Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '<LS_APPDATA>\a72a1ac3\X'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\a72a1ac3] 'ImagePath' = '%WINDIR%\3273271975:1490412860.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\.netbt] 'ImagePath' = '\?'
Вредоносные функции:
Создает и запускает на исполнение:
- <LS_APPDATA>\a72a1ac3\X
Запускает на исполнение:
- %WINDIR%\explorer.exe
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\winlogon.exe
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\$NtUninstallKB16918$\2804554435\L\acbrwqkz
- %WINDIR%\$NtUninstallKB16918$\2804554435\@
- %WINDIR%\3273271975:1490412860.exe
- <LS_APPDATA>\a72a1ac3\@
- <LS_APPDATA>\a72a1ac3\X
Самоудаляется.
Сетевая активность:
Подключается к:
- '12#.#36.93.45':21810
- '92.#0.4.206':21810
- '18#.#56.70.76':21810
- '99.##6.64.89':21810
- '82.##2.37.65':21810
- '75.##.184.59':21810
- '11#.#84.135.179':21810
- '11#.#2.177.242':21810
- '19#.#5.207.1':21810
- '17#.#5.95.244':21810
- '12#.#14.76.64':21810
- '12#.#5.47.180':21810
- '76.#6.40.6':21810
- '18#.#6.210.45':21810
- '12#.#9.122.30':21810
- '12#.#68.231.52':21810
- '95.##3.78.232':21810
- '89.##.103.217':21810
- '46.##0.85.170':21810
- '11#.#10.29.207':21810
- '62.##.33.106':21810
- '46.##9.69.204':21810
- '17#.#87.241.195':21810
- '21#.#24.13.80':21810
- '77.##3.18.75':21810
- '90.##9.31.208':21810
- '92.#6.43.66':21810
- '2.##.63.160':21810
- '17#.#06.108.66':21810
- '75.#.246.38':21810
- '93.##7.165.252':21810
- '22#.#3.1.112':21810
- '78.##.126.210':21810
- '78.#9.64.14':21810
- '11#.#54.125.162':21810
- '11#.#96.7.64':21810
- '89.##4.245.109':21810
- '18#.#15.149.84':21810
- '16#.#5.171.207':21810
- '90.##0.129.126':21810
- '85.##6.204.24':21810
- '88.##1.224.66':21810
- '20#.#49.83.111':21810
- '10#.#91.0.24':21810
- '18#.#15.81.120':21810
- '49.##5.115.48':21810
- '11#.#5.242.29':21810
- '89.##9.149.5':21810
- '46.##3.218.167':21810
- '68.#4.19.44':21810
- '22#.#91.31.138':21810
- '2.##.239.29':21810
- '18#.#7.188.127':21810
- '94.##0.115.134':21810
- '46.#.147.37':21810
- '13#.#0.35.167':21810
- '89.##5.130.94':21810
- '80.##3.37.220':21810
- '46.##3.221.204':21810
- '95.##9.214.228':21810
- '10#.#87.227.233':21810
- '77.##.228.137':21810
- '94.##2.193.135':21810
- '15#.#2.33.125':21810
- '20#.#41.237.28':21810
- '85.##.222.54':21810
- '46.##1.214.188':21810
- '18#.#2.86.72':21810
- '85.##1.121.77':21810
- '13#.#9.166.217':21810
- '95.##.123.96':21810
- '11#.#2.134.20':21810
- '77.##.211.84':21810
- '11#.#2.244.94':21810
- '18#.#7.103.6':21810
- '20#.#94.116.31':21810
- '94.##7.205.253':21810
- '19#.#05.135.219':21810
- '79.##4.26.126':21810
- '21#.#6.250.69':21810
- '21#.#3.40.122':21810
- '17#.#09.234.79':21810
- '10#.#91.91.115':21810
- '67.##8.60.142':21810
- '78.##.137.47':21810
- '49.##9.135.193':21810
- '59.##.218.118':21810
- '62.#0.54.73':21810
- '13#.#0.99.245':21810
- '13#.#30.96.66':21810
- '92.##1.103.19':21810
- '18#.#18.214.212':21810
- '12#.#76.228.45':21810
- '88.##9.81.144':21810
- '86.##2.171.67':21810
- '82.#31.3.32':21810
- '91.##5.212.255':21810
- '18#.#32.37.83':21810
- '95.#9.171.1':21810
- '14.##.181.75':21810
- '18#.#34.117.151':21810
- '12#.#73.115.58':21810
- '19#.#05.154.210':80
- '79.##7.73.34':21810
- '12#.#85.98.252':21810
- '95.##.111.133':21810
- '92.##5.47.208':21810
- '10#.#84.178.68':21810
- '88.##6.180.116':21810
- '10#.#97.136.10':21810
- '11#.#87.46.233':21810
- '79.##3.24.73':21810
- '12#.#46.9.220':21810
- '11#.#95.8.207':21810
- '46.##7.183.205':21810
- '94.##1.211.49':21810
- '17#.#37.255.144':21810
- '85.##8.139.107':21810
- '18#.#86.63.166':21810
- '13#.#14.69.236':21810
- '46.#.152.51':21810
- '17#.#5.228.37':21810
- '18#.#60.0.64':21810
- '17#.#04.237.158':21810
- '59.##7.137.143':21810
- '17#.#1.235.228':21810
- '17#.#09.229.37':21810
- '21#.#7.11.114':21810
- '94.##0.171.107':21810
- '89.##.228.238':21810
- '11#.#96.133.98':21810
- '18#.#60.44.231':21810
- '18#.#6.106.16':21810
- '79.##5.123.111':21810
- '12#.#37.182.37':21810
- '46.#.47.82':21810
- '20#.#31.126.226':21810
- '21#.#64.215.173':21810
- '18#.#60.10.81':21810
- '2.##.191.129':21810
- '77.##8.209.186':21810
- '10#.#94.222.78':21810
- '78.##6.196.54':21810
- '10#.#82.244.213':21810
- '92.##.219.129':21810
- '14.##4.83.65':21810
- '31.##8.97.82':21810
- '10#.#26.18.36':21810
- '18#.#10.14.168':21810
- '31.##3.99.249':21810
- '95.##9.0.212':21810
- '41.#6.44.43':21810
- '10#.#91.141.47':21810
TCP:
Запросы HTTP GET:
- 19#.#05.154.210/stat2.php?w=##########################################
- 19#.#05.154.210/stat2.php?w=###########################################
