Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\sctm1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\sctm2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\sctm3.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\sctm4.ocx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\28901000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'ca##ha.cl':80
- 'ca##ha.cl':443
- 'br#####pilota.com.pl':80
- 'br#####pilota.com.pl':443
- 'x1.#.lencr.org':80
- 'r3.#.lencr.org':80
- 'ca####nasitsaso.es':80
- 'dr##o.sk':80
TCP
Запросы HTTP GET
- http://ca##ha.cl/wp-admin/uaGdFOaYvx9p0sHuur/
- http://br#####pilota.com.pl/wp-admin/xCZp8SgBtmxELi/
- http://x1.#.lencr.org/
- http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgTFu5GquZLp2cCN%2BkzGa5iZng%3D%3D
- http://ca####nasitsaso.es/wp-content/dYbHrCM41ZJ9/
- http://ca####nasitsaso.es/wp-content/dYbHrCM41ZJ9/?do#############################################
- http://www.dr##o.sk/_sub/kweb8e/
Другие
- 'ca##ha.cl':443
- 'br#####pilota.com.pl':443
UDP
- DNS ASK ca##ha.cl
- DNS ASK br#####pilota.com.pl
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
- DNS ASK ca####nasitsaso.es
- DNS ASK dr##o.sk
- DNS ASK st####.rapidssl.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\sctm1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\sctm2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\sctm3.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\sctm4.ocx' (со скрытым окном)
