Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\cui1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cui2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cui3.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cui4.ocx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\e37d0000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'bo#####ercambios.com.br':443
- 'br###dir.com':443
- 'ha###oog6.nl':80
- 'br####ubuski.com':80
TCP
Запросы HTTP GET
- http://ha###oog6.nl/META-INF/f/
- http://br####ubuski.com/wp-content/2MODCk0UZasTCL6tm/
Другие
- 'br###dir.com':443
UDP
- DNS ASK bo#####ercambios.com.br
- DNS ASK br###dir.com
- DNS ASK ha###oog6.nl
- DNS ASK br####ubuski.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\cui1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cui2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cui3.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cui4.ocx' (со скрытым окном)
