Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\roele.vva] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\roele.vva] 'ImagePath' = '%WINDIR%\SysWOW64\regsvr32.exe /s "%WINDIR%\SysWOW64\Ujpcleglrvdwgyz\roele.vva"'
Создает следующие сервисы
- 'roele.vva' %WINDIR%\SysWOW64\regsvr32.exe /s "%WINDIR%\SysWOW64\Ujpcleglrvdwgyz\roele.vva"
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\regsvr32.exe' -s ..\adw.dll
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\adw.dll
- <Текущая директория>\4ea31000
Перемещает следующие файлы
- %HOMEPATH%\adw.dll в %WINDIR%\syswow64\ujpcleglrvdwgyz\roele.vva
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'cl##acc.com':80
- 'cl##acc.com':443
- 'x1.#.lencr.org':80
- 'r3.#.lencr.org':80
- 'ch###ymas.com':80
- 'ch###ymas.com':443
- 'mu###tdol.com':80
- '70.##.102.35':443
- '92.##0.254.110':8080
- '51.#1.76.89':8080
- '21#.#82.25.250':8080
- '11#.#93.124.41':7080
- '45.##2.114.231':8080
- '17#.#6.128.118':443
TCP
Запросы HTTP GET
- http://cl##acc.com/img/doXw68d7bqxxhwuxNb0N/
- http://x1.#.lencr.org/
- http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgTgS47O7L%2FvMNTbdpT7Cym%2FbQ%3D%3D
- http://ch###ymas.com/wp-admin/yo11rETlmzRqZlC56B/
- http://mu###tdol.com/adm/YO7lpLlRnPIM/
Другие
- 'cl##acc.com':443
- 'ch###ymas.com':443
UDP
- DNS ASK cl##acc.com
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
- DNS ASK ch###ymas.com
- DNS ASK mu###tdol.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' -s ..\adw.dll' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' /s "%WINDIR%\SysWOW64\Ujpcleglrvdwgyz\roele.vva"
