Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa3.ocx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\cusoa2.ocx
- <Текущая директория>\45031000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'ai###ftlimo.com':443
- 'de#######sables.inertiasoft.net':80
- 'ju###lay.asia':443
TCP
Запросы HTTP GET
- http://de#######sables.inertiasoft.net/cgi-bin/AR4nYNd9xpn/
Другие
- 'ai###ftlimo.com':443
- 'ju###lay.asia':443
UDP
- DNS ASK ai###ftlimo.com
- DNS ASK de#######sables.inertiasoft.net
- DNS ASK ju###lay.asia
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa3.ocx' (со скрытым окном)
