Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\xgev1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\xgev2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\xgev3.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\xgev4.ocx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\xgev1.ocx
- %HOMEPATH%\xgev4.ocx
- <Текущая директория>\cad21000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'ai##obi.com':80
- 'zo###uner.com':443
- 'ye##eko.com':80
- 'ye##eko.com':443
- 'x1.#.lencr.org':80
- 'ak###arabic.com':80
- 'oc##.thawte.com':80
TCP
Запросы HTTP GET
- http://ai##obi.com/system/gbh/
- http://ye##eko.com/stats/xdlT/
- http://x1.#.lencr.org/
- http://ak###arabic.com/cgi-bin/lmqmGv5s/
Другие
- 'zo###uner.com':443
- 'ye##eko.com':443
UDP
- DNS ASK ai##obi.com
- DNS ASK zo###uner.com
- DNS ASK ye##eko.com
- DNS ASK x1.#.lencr.org
- DNS ASK ak###arabic.com
- DNS ASK oc##.thawte.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\xgev1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\xgev2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\xgev3.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\xgev4.ocx' (со скрытым окном)
