Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\elv1.ooocccxxx
- '<SYSTEM32>\regsvr32.exe' /S ..\elv2.ooocccxxx
- '<SYSTEM32>\regsvr32.exe' /S ..\elv3.ooocccxxx
- '<SYSTEM32>\regsvr32.exe' /S ..\elv4.ooocccxxx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\elv1.ooocccxxx
- <Текущая директория>\4da51000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'hs###xintp.com':80
- 'st#####s-et-deco.com':80
- 'ce###brils.cat':80
- 'cl#######rtalpsicologia.com.br':80
- 'cl#######rtalpsicologia.com.br':443
- 'pk#.goog':80
TCP
Запросы HTTP GET
- http://hs###xintp.com/wp-admin/4m1WxDxza6D8SVrfF/
- http://www.hs###xintp.com/wp-admin/4m1WxDxza6D8SVrfF/
- http://www.st#####s-et-deco.com/admin002vqimbe/hRFZkkzLIl/
- http://www.ce###brils.cat/wp-content/cXEhHssszV/
- http://www.cl#######rtalpsicologia.com.br/wp-includes/d6tkyFFBNwY/
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'cl#######rtalpsicologia.com.br':443
UDP
- DNS ASK hs###xintp.com
- DNS ASK st#####s-et-deco.com
- DNS ASK ce###brils.cat
- DNS ASK cl#######rtalpsicologia.com.br
- DNS ASK pk#.goog
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\elv1.ooocccxxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\elv2.ooocccxxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\elv3.ooocccxxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\elv4.ooocccxxx' (со скрытым окном)
