Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\mRcgErLiMRlZ.dll] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\mRcgErLiMRlZ.dll] 'ImagePath' = '<SYSTEM32>\regsvr32.exe "<SYSTEM32>\SNaCcilQiRkZLEO\mRcgErLiMRlZ.dll"'
Создает следующие сервисы
- 'mRcgErLiMRlZ.dll' <SYSTEM32>\regsvr32.exe "<SYSTEM32>\SNaCcilQiRkZLEO\mRcgErLiMRlZ.dll"
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' ..\hvxda.ocx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\hvxda.ocx
- <Текущая директория>\72111000
Перемещает следующие файлы
- %HOMEPATH%\hvxda.ocx в <SYSTEM32>\snaccilqirkzleo\mrcgerlimrlz.dll
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'of###mocity.com':443
- 'mu#####roperty.co.uk':443
- 'go#####endsdriving.com':80
TCP
Запросы HTTP GET
- http://go#####endsdriving.com/createschedule/F0jGvgTiFAMRh2Tr8HL/
Другие
- 'of###mocity.com':443
- 'mu#####roperty.co.uk':443
UDP
- DNS ASK of###mocity.com
- DNS ASK mu#####roperty.co.uk
- DNS ASK go#####endsdriving.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' ..\hvxda.ocx' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' "<SYSTEM32>\SNaCcilQiRkZLEO\mRcgErLiMRlZ.dll"
