Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\] 'Images' = '%PROGRAMDATA%\word.exe'
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\text224.exe'
Запускает на исполнение (эксплоит)
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "%TEMP%\A9R1l9k19k_50h6qc_ug.tmp\wd11.doc"
Внедряет код в
следующие пользовательские процессы:
- word.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\a9r1l9k19k_50h6qc_ug.tmp\wd11.doc
- %APPDATA%\text224.exe
- %APPDATA%\microsoft\windows\cookies\user@google[1].txt
- %PROGRAMDATA%\word.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://ta####soutreach.org/wp-includes/css/war.exe
- http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
- http://oc##.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQwF4prw9S7mCbCEHD%2Fyl6nWPkczAQUe1tFz6%2FOy3r9MZIaarbzRutXSFACEEeXTXhzpbyrDS%2BzcBkvzl4%3D
UDP
- DNS ASK ta####soutreach.org
- DNS ASK do#########ocs.googleusercontent.com
- DNS ASK oc##.#tartssl.com
- DNS ASK oc##.thawte.com
Другое
Создает и запускает на исполнение
- '%PROGRAMDATA%\word.exe'
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
