Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'blacksun' = '<SYSTEM32>\blacksun.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\explorer.exe' = '%WINDIR%\explorer.exe:*:Enabled:blacksun'
Запускает на исполнение:
- <SYSTEM32>\dumprep.exe 1124 -dm 7 7 "%TEMP%\WER0d6a.dir00\svchost.exe.mdmp" 16325836412030228
- <SYSTEM32>\dumprep.exe 1124 -dm 7 7 "%TEMP%\WER0d6a.dir00\svchost.exe.hdmp" 16325836412027868
- <SYSTEM32>\netsh.exe firewall set allowedprogram %WINDIR%\Explorer.EXE blacksun ENABLE
- <SYSTEM32>\cmd.exe /c ""<SYSTEM32>\del.bat" "
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\lsass.exe
- <SYSTEM32>\spoolsv.exe
- <SYSTEM32>\alg.exe
- <SYSTEM32>\ctfmon.exe
- <SYSTEM32>\services.exe
- System
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\smss.exe
- <SYSTEM32>\winlogon.exe
- <SYSTEM32>\csrss.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\WER0d6a.dir00\svchost.exe.hdmp
- %TEMP%\WER0d6a.dir00\appcompat.txt
- %TEMP%\WER0d6a.dir00\manifest.txt
- <SYSTEM32>\blacksun.exe
- <SYSTEM32>\del.bat
- %TEMP%\WER0d6a.dir00\svchost.exe.mdmp
Самоудаляется.
Сетевая активность:
Подключается к:
- 'www.gs##hn.com':80
TCP:
Запросы HTTP GET:
- www.gs##hn.com/web/getcommand.php?ge####################################################################
UDP:
- DNS ASK www.gs##hn.com
