Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\hhdt1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\hhdt2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\hhdt3.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\hhdt4.ocx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\79ae0000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'we###ulta.com':443
- 'x1.#.lencr.org':80
- 'ch####assion.com':80
- 'as####adosaldia.com':80
- 'as####adosaldia.com':443
- 'ak###arabic.com':80
- 'oc##.#ectigo.com':80
- 'oc##.#tartssl.com':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
- http://ch####assion.com/wp-content/Qcl3YY1jmc/
- http://www.as####adosaldia.com/wp-content/5xLOG2xKBT20s8e6Fs1/
- http://ak###arabic.com/cgi-bin/WQ0nRFFi3/
- http://oc##.#ectigo.com/MFIwUDBOMEwwSjAJBgUrDgMCGgUABBRDC9IOTxN6GmyRjyTl2n4yTUczyAQUjYxexFStiuF36Zv5mwXhuAGNYeECEQCB6TTMc0gGP%2BClC%2FOVWRjm
- http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
Другие
- 'we###ulta.com':443
- 'as####adosaldia.com':443
UDP
- DNS ASK we###ulta.com
- DNS ASK x1.#.lencr.org
- DNS ASK ch####assion.com
- DNS ASK as####adosaldia.com
- DNS ASK ak###arabic.com
- DNS ASK oc##.#ectigo.com
- DNS ASK oc##.#tartssl.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\hhdt1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\hhdt2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\hhdt3.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\hhdt4.ocx' (со скрытым окном)
