Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' C:\Datop\besta.ocx
- '<SYSTEM32>\regsvr32.exe' C:\Datop\bestb.ocx
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 672
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1478140.cvr
Сетевая активность
Подключается к
- 'ib##b.org':443
- 'x1.#.lencr.org':80
- 'r3.#.lencr.org':80
- 'fu######rothersconcrete.com':443
- 'tr#####erresorts.com':443
- 'oc##.#tartssl.com':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
- http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgOM%2Fs4cn0F9M49E%2Fw6FAYm6aQ%3D%3D
- http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
Другие
- 'ib##b.org':443
- 'fu######rothersconcrete.com':443
- 'tr#####erresorts.com':443
UDP
- DNS ASK ib##b.org
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
- DNS ASK fu######rothersconcrete.com
- DNS ASK tr#####erresorts.com
- DNS ASK oc##.#tartssl.com
