Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa3.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa4.ocx
- '%ProgramFiles%\microsoft office\office14\clview.exe' "EXCEL" "Microsoft Excel"
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\cusoa2.ocx
- %HOMEPATH%\cusoa4.ocx
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012022052320220524\index.dat
Сетевая активность
Подключается к
- 'ne##ano.com':443
- 'oc####ullari.com':80
- 'my####cuatui.com':443
- 'si######hutungxenang.com':80
TCP
Запросы HTTP GET
- http://oc####ullari.com/inc/Wcm82enrs8/
- http://si######hutungxenang.com/old_source/9boJQZpTSdQE/
Другие
- 'ne##ano.com':443
- 'my####cuatui.com':443
UDP
- DNS ASK ne##ano.com
- DNS ASK oc####ullari.com
- DNS ASK my####cuatui.com
- DNS ASK si######hutungxenang.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa3.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa4.ocx' (со скрытым окном)
