Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\wdusx1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\wdusx2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\wdusx3.ocx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\faa51000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'ye####nkajans.com':443
- 'x1.#.lencr.org':80
- 'ya###-fz.com':80
- 'wa#####ogistics.com.hk':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
- http://ya###-fz.com/joy/ZnIjgkgZ18/
- http://www.wa#####ogistics.com.hk/upload/AvtsILsT00O/
Другие
- 'ye####nkajans.com':443
UDP
- DNS ASK ye####nkajans.com
- DNS ASK x1.#.lencr.org
- DNS ASK ya###-fz.com
- DNS ASK wa#####ogistics.com.hk
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\wdusx1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\wdusx2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\wdusx3.ocx' (со скрытым окном)
