Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\cui1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cui2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cui3.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cui4.ocx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\cui3.ocx
- <Текущая директория>\d2d31000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'ce####russits.com':80
- 'ca##al.cl':80
- 'ch###ie.me.uk':80
- 'ce###brils.cat':80
TCP
Запросы HTTP GET
- http://ce####russits.com/assets/FL/
- http://ca##al.cl/cgi-bin/besSIJTfOk0DtHZR/
- http://ch###ie.me.uk/cgi-bin/gMLuebzG2RskkJXwY/
- http://www.ce###brils.cat/wp-content/0KwOSfNDESlzVMoc/
UDP
- DNS ASK ce####russits.com
- DNS ASK ca##al.cl
- DNS ASK ch###ie.me.uk
- DNS ASK ce###brils.cat
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\cui1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cui2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cui3.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cui4.ocx' (со скрытым окном)
