Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\haics1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\haics2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\haics3.ocx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\haics3.ocx
- <Текущая директория>\cd831000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'bu#######aquantumhealing.org':443
- 'fa###nfilms.com':443
- 'ro##el.mx':80
TCP
Запросы HTTP GET
- http://ro##el.mx/wp-includes/uX2WDFhrE/
- http://ro##el.mx/cgi-sys/suspendedpage.cgi
Другие
- 'bu#######aquantumhealing.org':443
- 'fa###nfilms.com':443
UDP
- DNS ASK bu#######aquantumhealing.org
- DNS ASK fa###nfilms.com
- DNS ASK ro##el.mx
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\haics1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\haics2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\haics3.ocx' (со скрытым окном)
