Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\cui1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cui2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cui3.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cui4.ocx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\c0e31000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'co####ropsgu.com':443
- 'ew####onsulting.com':443
- 'ce#####alafortaleza.com':443
- 'th###aohuy.com':80
TCP
Запросы HTTP GET
- http://th###aohuy.com/wp-content/VxhkYwH7/
Другие
- 'co####ropsgu.com':443
- 'ew####onsulting.com':443
- 'ce#####alafortaleza.com':443
UDP
- DNS ASK co####ropsgu.com
- DNS ASK ew####onsulting.com
- DNS ASK ce#####alafortaleza.com
- DNS ASK th###aohuy.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\cui1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cui2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cui3.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cui4.ocx' (со скрытым окном)
