Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run\] 'kkl' = '"%APPDATA%\oos.exe"'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\] 'kkl' = '"%APPDATA%\oos.exe"'
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Запускает на исполнение (эксплоит)
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "%TEMP%\A9R1iipna5_1s09zv4_1ao.tmp\has been verified. However PDF, JPEG, xlsx, .docx"
Внедряет код в
следующие пользовательские процессы:
- oos.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\a9r1iipna5_1s09zv4_1ao.tmp\has been verified. however pdf, jpeg, xlsx, .docx
- C:\users\public\vbc.exe
- %APPDATA%\oos.exe
- %TEMP%\install.vbs
- %ALLUSERSPROFILE%\remcos\logs.dat
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\oos.exe
Удаляет следующие файлы
- %TEMP%\install.vbs
Сетевая активность
Подключается к
- '45.##.190.156':80
- 'xp#####z300622.ddns.net':3542
- 'ge###ugin.net':80
TCP
Запросы HTTP GET
- http://45.##.190.156/shpp/document_260.doc
- http://45.##.190.156/260/vbc.exe
- http://ge###ugin.net/json.gp
Другие
- 'xp#####z300622.ddns.net':3542
UDP
- DNS ASK xp#####z300622.ddns.net
- DNS ASK ge###ugin.net
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\install.vbs"
- '%APPDATA%\oos.exe'
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\install.vbs"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c "%APPDATA%\oos.exe"' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\cmd.exe' /c "%APPDATA%\oos.exe"
