Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa3.ocx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\0f931000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'st####anclark.com':443
- 'sy####e-archive.com':443
- 'su###esa.com':443
- 'x1.#.lencr.org':80
- 'r3.#.lencr.org':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
- http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgQRB%2Ba2tA1M4aDSJwc4Rq9%2Bqg%3D%3D
Другие
- 'st####anclark.com':443
- 'sy####e-archive.com':443
- 'su###esa.com':443
UDP
- DNS ASK st####anclark.com
- DNS ASK sy####e-archive.com
- DNS ASK su###esa.com
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
- DNS ASK st####.rapidssl.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa3.ocx' (со скрытым окном)
