Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw4.ocx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\ddd51000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'co#####olutions.co.za':80
- 'co#####olutions.co.za':443
- 'co###ebem.com':80
- 'co####camvinh.com':80
- 'do####pany.com.br':80
TCP
Запросы HTTP GET
- http://co#####olutions.co.za/libraries/qn8LLQ66K/
- http://co###ebem.com/wp-admin/WvCd0OfZD/
- http://co####camvinh.com/plugins/rwPRWazNkGzg/
- http://do####pany.com.br/autoupdate/WVzrARSu74NtSh61uF/
Другие
- 'co#####olutions.co.za':443
UDP
- DNS ASK co#####olutions.co.za
- DNS ASK co###ebem.com
- DNS ASK co####camvinh.com
- DNS ASK do####pany.com.br
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw4.ocx' (со скрытым окном)
