Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\uxevr1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\uxevr2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\uxevr3.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\uxevr4.ocx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\uxevr1.ocx
- <Текущая директория>\39061000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'vi##eck.com':80
- 'sa###demode.com':80
- 'ai###ftlimo.com':443
- 'ka##onet.pl':80
TCP
Запросы HTTP GET
- http://vi##eck.com/wp-admin/user/B8d6jr4pBND2HExAmI/lJWa95VlQ/
- http://sa###demode.com/tgroup.ge/x4bc2kL4BzGAeUsVi/
- http://ka##onet.pl/wp-admin/VWlAz5vWJNHDb/
- http://www.ka##onet.pl/wp-admin/VWlAz5vWJNHDb/
Другие
- 'ai###ftlimo.com':443
UDP
- DNS ASK vi##eck.com
- DNS ASK sa###demode.com
- DNS ASK ai###ftlimo.com
- DNS ASK ka##onet.pl
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\uxevr1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\uxevr2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\uxevr3.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\uxevr4.ocx' (со скрытым окном)
