Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\soci1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\soci2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\soci3.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\soci4.ocx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\ff961000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'ch####ecaper.com':80
- 'ch###are.com':80
- 'ch###are.com':443
- 'x1.#.lencr.org':80
- 'r3.#.lencr.org':80
- 'pc##rico.cl':443
- 'ft#.#####ankruptcypartner.com':80
- 'oc##.thawte.com':80
- 'oc##.#tartssl.com':80
TCP
Запросы HTTP GET
- http://ch####ecaper.com/wp-includes/Q8IU0ksWg0/
- http://ch###are.com/che-fare-media/rPI4ln2WQ7IyznRle/
- http://x1.#.lencr.org/
- http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgQ8kkeuEfDYadJbUJqC6gUpTQ%3D%3D
- http://oc##.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQwF4prw9S7mCbCEHD%2Fyl6nWPkczAQUe1tFz6%2FOy3r9MZIaarbzRutXSFACEEeXTXhzpbyrDS%2BzcBkvzl4%3D
- http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
Другие
- 'ch###are.com':443
- 'pc##rico.cl':443
UDP
- DNS ASK ch####ecaper.com
- DNS ASK ch###are.com
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
- DNS ASK pc##rico.cl
- DNS ASK ft#.#####ankruptcypartner.com
- DNS ASK oc##.thawte.com
- DNS ASK oc##.#tartssl.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\soci1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\soci2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\soci3.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\soci4.ocx' (со скрытым окном)
