Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\elv1.ooocccxxx
- '<SYSTEM32>\regsvr32.exe' /S ..\elv2.ooocccxxx
- '<SYSTEM32>\regsvr32.exe' /S ..\elv3.ooocccxxx
- '<SYSTEM32>\regsvr32.exe' /S ..\elv4.ooocccxxx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\ac341000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'bo##y.com':443
- 'na##lin.com':80
- 'na##lin.com':443
- 'db.##kaz.tech':80
TCP
Запросы HTTP GET
- http://na##lin.com/autopoisonous/4fZQW/
- http://db.##kaz.tech/lCx76IlkrBtEsqNFA7/zPYJzpOnzstNOiRHob/
Другие
- 'bo##y.com':443
- 'na##lin.com':443
UDP
- DNS ASK bo##y.com
- DNS ASK na##lin.com
- DNS ASK as####.garudaputih.com
- DNS ASK db.##kaz.tech
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\elv1.ooocccxxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\elv2.ooocccxxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\elv3.ooocccxxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\elv4.ooocccxxx' (со скрытым окном)
