Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\peg1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\peg2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\peg3.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\peg4.ocx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\peg3.ocx
- <Текущая директория>\7baf0000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'ce####ypapers.com':443
- 'x1.#.lencr.org':80
- 'r3.#.lencr.org':80
- 'br######servicesgroup.com':443
- 'ch####ndpyle.com':80
- 'ch#####ovespells.com':80
- 'ch#####ovespells.com':443
- 'oc##.thawte.com':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
- http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgN9cXg9PNTBp%2Bo7%2BcJRriGdOA%3D%3D
- http://ch####ndpyle.com/Old/UlfGGNN6xbau/
- http://ch####ndpyle.com/cgi-sys/suspendedpage.cgi
- http://ch#####ovespells.com/yt-assets/ZcCNJI1B/
Другие
- 'ce####ypapers.com':443
- 'br######servicesgroup.com':443
- 'ch#####ovespells.com':443
UDP
- DNS ASK ce####ypapers.com
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
- DNS ASK br######servicesgroup.com
- DNS ASK ch####ndpyle.com
- DNS ASK ch#####ovespells.com
- DNS ASK oc##.thawte.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\peg1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\peg2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\peg3.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\peg4.ocx' (со скрытым окном)
