Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\340e0000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'la#########t2022.scienceontheweb.net':80
- 'by####ndesign.nl':80
- 'ca##ofu.com':443
TCP
Запросы HTTP GET
- http://la#########t2022.scienceontheweb.net/images/aV5RfMoiboyOdnswRa/
- http://by####ndesign.nl/cgi-bin/oJYQiWRZITmFqE1H/
Другие
- 'ca##ofu.com':443
UDP
- DNS ASK la#########t2022.scienceontheweb.net
- DNS ASK bl####onstudio.com
- DNS ASK by####ndesign.nl
- DNS ASK ca##ofu.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx' (со скрытым окном)
