Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\soci1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\soci2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\soci3.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\soci4.ocx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\dd831000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'su#####erlaboratory.in':80
- 'di###ent.co.uk':80
- 'ag##ade.hu':80
- 'ag##ade.hu':443
- 'x1.#.lencr.org':80
- 'r3.#.lencr.org':80
- 'za###oyle.com':443
TCP
Запросы HTTP GET
- http://di###ent.co.uk/vardagsekonomi/iC36jJ4J1cf/
- http://ag##ade.hu/images/kiQYmOs2tSKq/
- http://x1.#.lencr.org/
- http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgRQdRWaiLEPuNG%2FqyhdgvhWSA%3D%3D
Другие
- 'ag##ade.hu':443
- 'za###oyle.com':443
UDP
- DNS ASK su#####erlaboratory.in
- DNS ASK di###ent.co.uk
- DNS ASK ag##ade.hu
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
- DNS ASK za###oyle.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\soci1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\soci2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\soci3.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\soci4.ocx' (со скрытым окном)
