Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\86631000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'br###mulkey.com':443
- 'cr###atletas.uy':80
- 'co####runket.com':80
- 'db.##kaz.tech':80
TCP
Запросы HTTP GET
- http://cr###atletas.uy/headers/hPoIMx/
- http://co####runket.com/wp-content/GlJk9/
- http://db.##kaz.tech/lCx76IlkrBtEsqNFA7/H9YoD9PuGAHGb3MHZz/
Другие
- 'br###mulkey.com':443
UDP
- DNS ASK br###mulkey.com
- DNS ASK cr###atletas.uy
- DNS ASK co####runket.com
- DNS ASK db.##kaz.tech
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx' (со скрытым окном)
