Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' ..\hvxda.ocx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\hvxda.ocx
- <Текущая директория>\93031000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'pr####ichemfood.com':80
- 'pr####ichemfood.com':443
- 'lo#####blicidade.com':443
- 'bo##y.com':443
- 'st####.thawte.com':80
- 'cd#.#hawte.com':80
- 'se#####solutions.com':80
TCP
Запросы HTTP GET
- http://pr####ichemfood.com/wp-content/Mwmos/
- http://st####.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBSFvn094QJ%2BcWGTwWWEy%2BBXPZkW8AQUo8heZVTlMHjBBeoHCmpZzLn%2B3loCEAfEdUhhCKkCz14oKMmOE8c%3D
- http://cd#.#hawte.com/ThawteRSACA2018.crl
- http://se#####solutions.com/cgi-bin/WLoO6sEzYCJ3LTlC/
- http://se#####solutions.com/cgi-sys/suspendedpage.cgi
Другие
- 'pr####ichemfood.com':443
- 'lo#####blicidade.com':443
- 'bo##y.com':443
UDP
- DNS ASK pr####ichemfood.com
- DNS ASK lo#####blicidade.com
- DNS ASK bo##y.com
- DNS ASK st####.thawte.com
- DNS ASK cd#.#hawte.com
- DNS ASK se#####solutions.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' ..\hvxda.ocx' (со скрытым окном)
