Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /s C:\..\\Yhdthd.ocx
- '<SYSTEM32>\regsvr32.exe' /s C:\..\\Yhdthd1.ocx
- '<SYSTEM32>\regsvr32.exe' /s C:\..\\Yhdthd2.ocx
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\error004960_01.xml
- <Текущая директория>\c46d0000
Подменяет следующие файлы
- <PATH_SAMPLE>.xlsb
Сетевая активность
Подключается к
- 'at#####ordefeltro.com':80
- 'lo####amar.com.br':80
- 'am###lhamed.com':80
TCP
Запросы HTTP GET
- http://at#####ordefeltro.com/T9kpu5Vx0ag/Omnh.png7790983516.dat
- http://lo####amar.com.br/nokjRAAdeCA/Omnh.png7790983516.dat
- http://am###lhamed.com/QOqUcVgYi9n/Omnh.png7790983516.dat
UDP
- DNS ASK at#####ordefeltro.com
- DNS ASK lo####amar.com.br
- DNS ASK am###lhamed.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /s C:\..\\Yhdthd.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /s C:\..\\Yhdthd1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /s C:\..\\Yhdthd2.ocx' (со скрытым окном)
