Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx
Сетевая активность
Подключается к
- 'ap#####conmireia.com':443
- 'x1.#.lencr.org':80
- 'r3.#.lencr.org':80
- 'up###lymail.com':80
- 'ak#####si.itny.ac.id':443
- 'sw###webbox.com':80
- 'oc##.#ectigo.com':80
- 'oc##.#tartssl.com':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
- http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgTXz5jnzwyKsSseMZ1797p7eA%3D%3D
- http://up###lymail.com/cgi-bin/gBYmfqRi2utIS2n/
- http://sw###webbox.com/cgi-bin/vNqoMtQilpysJYRwtGu/
- http://oc##.#ectigo.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRDC9IOTxN6GmyRjyTl2n4yTUczyAQUjYxexFStiuF36Zv5mwXhuAGNYeECEBhfY7ROSO5vN2O7K%2FTukqs%3D
- http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
Другие
- 'ap#####conmireia.com':443
- 'ak#####si.itny.ac.id':443
UDP
- DNS ASK ap#####conmireia.com
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
- DNS ASK up###lymail.com
- DNS ASK ak#####si.itny.ac.id
- DNS ASK sw###webbox.com
- DNS ASK oc##.#ectigo.com
- DNS ASK oc##.#tartssl.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx' (со скрытым окном)
