Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' "%TEMP%\~$doc-ad9b812a-88b2-454c-989f-7bb5fe98717e.ole"
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\file-aff94b08-6d9f-48c5-9900-5bee8ef5ab33.docx
Сетевая активность
TCP
Запросы HTTP POST
- http://cl##.##angweidesign.com/4/114181-Choy-Amile-Gag
- http://cl##.##angweidesign.com/13/97548-Hoir-Rhas-Tharo-Umiw-Jo
- http://cl##.##angweidesign.com/1/86784-Enok-Ujev-Awobe-
- http://cl##.##angweidesign.com/9/40072-Ojiur-Wija-D
UDP
- DNS ASK jc##.jsoid.com
- DNS ASK ne##.###ngrilaexports.com
- DNS ASK cl##.##angweidesign.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' "%TEMP%\~$doc-ad9b812a-88b2-454c-989f-7bb5fe98717e.ole"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' "%TEMP%\~$doc-ad9b812a-88b2-454c-989f-7bb5fe98717e.ole"
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "%TEMP%\File-aff94b08-6d9f-48c5-9900-5bee8ef5ab33.docx"
