Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa3.ocx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\cusoa3.ocx
- <Текущая директория>\ca531000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'sa###santh.com':443
- 'we####uindia.com':443
- 'st####orehouse.com':80
TCP
Запросы HTTP GET
- http://st####orehouse.com/Casa_Grande/AS4VPkTsOqWDGGO/
- http://st####orehouse.com/cgi-sys/suspendedpage.cgi
Другие
- 'sa###santh.com':443
- 'we####uindia.com':443
UDP
- DNS ASK sa###santh.com
- DNS ASK we####uindia.com
- DNS ASK st####orehouse.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa3.ocx' (со скрытым окном)
