Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa3.ocx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\cusoa3.ocx
- <Текущая директория>\91231000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'bo#####ie-thollas.com':80
- 'bo#####ie-thollas.com':443
- 'su####anmutfak.com':80
- 'oc##.#ectigo.com':80
- 'oc##.thawte.com':80
TCP
Запросы HTTP GET
- http://www.bo#####ie-thollas.com/wp-content/Q/
- http://www.su####anmutfak.com/Template/fMh7nu/
- http://oc##.#ectigo.com/MFIwUDBOMEwwSjAJBgUrDgMCGgUABBRDC9IOTxN6GmyRjyTl2n4yTUczyAQUjYxexFStiuF36Zv5mwXhuAGNYeECEQCCotTBE1Ja5bKXueO3UEsH
- http://oc##.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQwF4prw9S7mCbCEHD%2Fyl6nWPkczAQUe1tFz6%2FOy3r9MZIaarbzRutXSFACEEeXTXhzpbyrDS%2BzcBkvzl4%3D
Другие
- 'bo#####ie-thollas.com':443
UDP
- DNS ASK bo#####ie-thollas.com
- DNS ASK we#####.keurigonline52.nl
- DNS ASK su####anmutfak.com
- DNS ASK oc##.#ectigo.com
- DNS ASK oc##.thawte.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\cusoa3.ocx' (со скрытым окном)
