Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\scd1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\scd2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\scd3.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\scd4.ocx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\8f401000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'we###ulta.com':443
- 'x1.#.lencr.org':80
- 'in####pconsult.com':443
- 'ch###master.com':443
- 'pr###find.com':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
- http://pr###find.com/my_pictures/doh/
Другие
- 'we###ulta.com':443
- 'in####pconsult.com':443
- 'ch###master.com':443
UDP
- DNS ASK we###ulta.com
- DNS ASK x1.#.lencr.org
- DNS ASK in####pconsult.com
- DNS ASK ch###master.com
- DNS ASK pr###find.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\scd1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\scd2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\scd3.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\scd4.ocx' (со скрытым окном)
