Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\extrac32.exe' helff.hp_
- '<SYSTEM32>\rundll32.exe' helf.hpl,YDCFOMQICNKAUXS
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\borw4.doc
- %TEMP%\helf.hp_
- %APPDATA%\microsoft\templates\helf.hpl
- %TEMP%\borw4 (2).doc
Удаляет следующие файлы
- %TEMP%\borw4 (2).doc
Перемещает следующие файлы
- %TEMP%\helf.hp_ в %APPDATA%\microsoft\templates\helff.hp_
- %TEMP%\borw4.doc в %TEMP%\~wrl0001.tmp
Подменяет следующие файлы
- %TEMP%\borw4.doc
Сетевая активность
Подключается к
- 'ap#.#pify.org':80
- 'oc###tehou.ru':80
- 'lu###tsawfu.ru':80
TCP
Запросы HTTP GET
- http://ap#.#pify.org/
UDP
- DNS ASK ap#.#pify.org
- DNS ASK na###eelr.com
- DNS ASK oc###tehou.ru
- DNS ASK lu###tsawfu.ru
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\extrac32.exe' helff.hp_' (со скрытым окном)
- '<SYSTEM32>\rundll32.exe' helf.hpl,YDCFOMQICNKAUXS' (со скрытым окном)
