Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /s "<Текущая директория>\135310.tmp"
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\135310.tmp
Перемещает следующие файлы
- <Текущая директория>\135310.tmp в <SYSTEM32>\pzewnv\rghoy.dll
Сетевая активность
Подключается к
- 'ho####nchuyengia.vn':80
- '10#.#1.204.169':8080
- '10#.#24.241.74':8080
- '82.##.180.154':7080
- '18#.#48.169.10':8080
- '37.##.103.148':8080
- '20#.#39.112.82':8080
- '17#.#26.176.79':8080
- '83.##9.80.93':8080
- '17#.#38.33.49':7080
- '18#.#50.48.5':443
- '21#.#8.121.17':443
- '11#.#78.55.22':80
- '93.##.115.205':7080
- '19#.#94.92.175':443
- '13#.#97.14.67':8080
- '20#.#8.34.99':8080
- '19#.#99.70.22':8080
TCP
Запросы HTTP GET
- http://ho####nchuyengia.vn/wp-admin/ayWvTKf3xoJuNcScGZ/?13########
Другие
- '11#.#78.55.22':80
- '21#.#8.121.17':443
- '18#.#50.48.5':443
- '17#.#38.33.49':7080
- '10#.#24.241.74':8080
- '19#.#99.70.22':8080
UDP
- DNS ASK ho####nchuyengia.vn
Другое
Запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' "<SYSTEM32>\PZEwnv\RGHOY.dll"
