Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw1.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw2.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw3.ocx
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw4.ocx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\79ef0000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'yb#.##mediateam.com':80
- 'du####erzicgera.com':80
- 'sm####nchising.com':80
- 'sm####nchising.com':443
- 'du##am.dk':80
TCP
Запросы HTTP GET
- http://yb#.##mediateam.com/wp-includes/uU0hig4dnTtbaW/
- http://du####erzicgera.com/App_Data/RiZCHA/
- http://sm####nchising.com/wp-content/LKQlLKENda0/
- http://du##am.dk/wordpress/Q/
Другие
- 'sm####nchising.com':443
UDP
- DNS ASK yb#.##mediateam.com
- DNS ASK du####erzicgera.com
- DNS ASK sm####nchising.com
- DNS ASK du##am.dk
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw1.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw2.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw3.ocx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oadw4.ocx' (со скрытым окном)
