Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw4.ocx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\ddbc0000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'co##ina.us':443
- 'co#####ciondominic.pe':443
- 'gr###etqg.sn':443
- 'll##.com.br':80
- 'll##.com.br':443
- 'x1.#.lencr.org':80
- 'r3.#.lencr.org':80
TCP
Запросы HTTP GET
- http://www.ll##.com.br/app/Rdc1mvTcSSjLl3z/
- http://x1.#.lencr.org/
- http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgNQVBy497Tcn73evkyJv8QWHA%3D%3D
Другие
- 'co##ina.us':443
- 'co#####ciondominic.pe':443
- 'gr###etqg.sn':443
- 'll##.com.br':443
UDP
- DNS ASK co##ina.us
- DNS ASK co#####ciondominic.pe
- DNS ASK gr###etqg.sn
- DNS ASK ll##.com.br
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw4.ocx' (со скрытым окном)
