Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\uOsUcKVS.dll] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\uOsUcKVS.dll] 'ImagePath' = '<SYSTEM32>\regsvr32.exe "<SYSTEM32>\QFaBKhv\uOsUcKVS.dll"'
Создает следующие сервисы
- 'uOsUcKVS.dll' <SYSTEM32>\regsvr32.exe "<SYSTEM32>\QFaBKhv\uOsUcKVS.dll"
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' ..\xwnlm.ocx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\xwnlm.ocx
- <Текущая директория>\42e51000
Перемещает следующие файлы
- %HOMEPATH%\xwnlm.ocx в <SYSTEM32>\qfabkhv\uosuckvs.dll
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'lu####sthemes.com':80
- '10#.8.26.17':8080
- '13#.#22.119.23':8080
- '10#.#33.214.242':8080
- '93.##4.209.107':8080
- '37.##.244.177':8080
- '19#.#4.98.190':8080
- '11#.#24.128.206':8080
- '88.##7.172.165':8080
- '62.##1.178.147':8080
- '18#.#48.168.220':8080
- '10#.85.95.4':8080
- '19#.#7.239.39':8080
- '15#.#9.237.188':443
TCP
Запросы HTTP GET
- http://lu####sthemes.com/clone_controller/bKv5LELdgzGRhtVAiJ/
Другие
- '10#.8.26.17':8080
- '13#.#22.119.23':8080
- '11#.#24.128.206':8080
UDP
- DNS ASK lu####sthemes.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' ..\xwnlm.ocx' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' "<SYSTEM32>\QFaBKhv\uOsUcKVS.dll"
