Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\06261000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'ft#.######anteinternationale.com':80
- 'vi##z.com':80
- 'ly.##lianyi.top':80
- 'mu###uayi.com':80
TCP
Запросы HTTP GET
- http://ft#.######anteinternationale.com/doctors/KAacngW97n4ApzVBDdGy/
- http://www.vi##z.com/admin3693/BDFFgAZ6zBRumcUSG/
- http://ly.##lianyi.top/wp-admin/NRAdJ/
- http://www.mu###uayi.com/cmp/Vtm2m7z88g/
UDP
- DNS ASK ft#.######anteinternationale.com
- DNS ASK vi##z.com
- DNS ASK ly.##lianyi.top
- DNS ASK mu###uayi.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx' (со скрытым окном)
