Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\87de0000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'co##kub.com':80
- 'ab####ctivity.hu':443
- 'an####egarcia.es':443
- 'x1.#.lencr.org':80
- 'r3.#.lencr.org':80
TCP
Запросы HTTP GET
- http://co##kub.com/wp-content/WwrJvjumS/
- http://x1.#.lencr.org/
- http://r3.#.lencr.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgRa46T4%2Fhsa5FDIrZ9AOOgY0w%3D%3D
Другие
- 'ab####ctivity.hu':443
- 'an####egarcia.es':443
UDP
- DNS ASK ka#####tukrakyat.com
- DNS ASK co##kub.com
- DNS ASK ab####ctivity.hu
- DNS ASK an####egarcia.es
- DNS ASK x1.#.lencr.org
- DNS ASK r3.#.lencr.org
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx' (со скрытым окном)
