Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\elv1.ooocccxxx
- '<SYSTEM32>\regsvr32.exe' /S ..\elv2.ooocccxxx
- '<SYSTEM32>\regsvr32.exe' /S ..\elv3.ooocccxxx
- '<SYSTEM32>\regsvr32.exe' /S ..\elv4.ooocccxxx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\elv2.ooocccxxx
- <Текущая директория>\6b4d0000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'gr#####lleyschool.com':443
- 'hs###xintp.com':80
- 'ch####ngsoftech.com':80
- 'ch####ngsoftech.com':443
- 'x1.#.lencr.org':80
- 'bw#####neering.co.za':80
TCP
Запросы HTTP GET
- http://hs###xintp.com/wp-admin/NP0kMO3VgxpmpkJ/
- http://www.ch####ngsoftech.com/AMMAN/bUM7CGZ4NB2vAiJMPi/
- http://x1.#.lencr.org/
- http://bw#####neering.co.za/configSHV/ot3TehH82zNjjRPuFKH/
Другие
- 'gr#####lleyschool.com':443
- 'ch####ngsoftech.com':443
UDP
- DNS ASK gr#####lleyschool.com
- DNS ASK hs###xintp.com
- DNS ASK ch####ngsoftech.com
- DNS ASK x1.#.lencr.org
- DNS ASK bw#####neering.co.za
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\elv1.ooocccxxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\elv2.ooocccxxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\elv3.ooocccxxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\elv4.ooocccxxx' (со скрытым окном)
