Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' C:\Uduw\soam1.OCX
- '<SYSTEM32>\regsvr32.exe' C:\Uduw\soam2.OCX
- '<SYSTEM32>\regsvr32.exe' C:\Uduw\soam3.OCX
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\9a031000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'bo##y.com':443
- 'st####.thawte.com':80
- 'cd#.#hawte.com':80
- 'be####thaber.com':443
- 'bu#####ironworksllc.com':443
- 'oc##.thawte.com':80
- 'oc##.#tartssl.com':80
TCP
Запросы HTTP GET
- http://st####.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBSFvn094QJ%2BcWGTwWWEy%2BBXPZkW8AQUo8heZVTlMHjBBeoHCmpZzLn%2B3loCEAeacH%2BIhVFb3j06l5rpGyE%3D
- http://oc##.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQwF4prw9S7mCbCEHD%2Fyl6nWPkczAQUe1tFz6%2FOy3r9MZIaarbzRutXSFACEEeXTXhzpbyrDS%2BzcBkvzl4%3D
- http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
Другие
- 'bo##y.com':443
- 'be####thaber.com':443
- 'bu#####ironworksllc.com':443
UDP
- DNS ASK bo##y.com
- DNS ASK st####.thawte.com
- DNS ASK cd#.#hawte.com
- DNS ASK be####thaber.com
- DNS ASK bu#####ironworksllc.com
- DNS ASK oc##.thawte.com
- DNS ASK oc##.#tartssl.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' C:\Uduw\soam1.OCX' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' C:\Uduw\soam2.OCX' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' C:\Uduw\soam3.OCX' (со скрытым окном)
