Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\oxnv2.ooccxx
- %HOMEPATH%\oxnv3.ooccxx
- <Текущая директория>\dc0c0000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'da###-tw.com':443
- 'ce#####-nutrition.com':80
- 'ch#######factorysampaios.com.br':80
- 'da#####ongthapmuoi.vn':443
TCP
Запросы HTTP GET
- http://ce#####-nutrition.com/wp-content/Nh1L6YR4qlDFWS58cVB/
- http://ce#####-nutrition.com/cgi-sys/suspendedpage.cgi
- http://ch#######factorysampaios.com.br/xt5HKu/tDs8WsKOxQFq/
- http://ch#######factorysampaios.com.br/cgi-sys/suspendedpage.cgi
Другие
- 'da###-tw.com':443
- 'da#####ongthapmuoi.vn':443
UDP
- DNS ASK da###-tw.com
- DNS ASK ce#####-nutrition.com
- DNS ASK ch#######factorysampaios.com.br
- DNS ASK da#####ongthapmuoi.vn
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx' (со скрытым окном)
