Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\oxnv2.ooccxx
- <Текущая директория>\e8e21000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'wi####usmedia.nl':443
- 'br###knight.com':80
- 'ca#####onindigital.org':80
- 'ca#####onindigital.org':443
- 'oc##.#ectigo.com':80
TCP
Запросы HTTP GET
- http://br###knight.com/PHP/Aqxf09OugZ/
- http://ww##.##ittknight.com/PHP/Aqxf09OugZ/?su#########################################
- http://www.ca#####onindigital.org/moodle/LumMe/
- http://oc##.#ectigo.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRDC9IOTxN6GmyRjyTl2n4yTUczyAQUjYxexFStiuF36Zv5mwXhuAGNYeECECyVN%2FjVCfoYZ5tuc0DCWZs%3D
Другие
- 'wi####usmedia.nl':443
- 'ca#####onindigital.org':443
UDP
- DNS ASK wi####usmedia.nl
- DNS ASK br###knight.com
- DNS ASK ww##.##ittknight.com
- DNS ASK nl###ndbox.com
- DNS ASK ca#####onindigital.org
- DNS ASK oc##.#ectigo.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx' (со скрытым окном)
