Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\fc461000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'ap#.###bdedocentes.com':80
- 'ed######lubdedocentes.com':443
- 'x1.#.lencr.org':80
- 'x2.#.lencr.org':80
- 'li###iendoc.com':80
- 'li###iendoc.com':443
- 'so###ecool.com':80
- 'st#####s-et-deco.com':80
TCP
Запросы HTTP GET
- http://ap#.###bdedocentes.com/storage/DCcq9ekgH99sI/
- http://x1.#.lencr.org/
- http://x2.#.lencr.org/
- http://li###iendoc.com/app/payments/qoy5JqpLqrbsKl/
- http://so###ecool.com/throng/iOD/
- http://www.st#####s-et-deco.com/Adapter/lYw/
Другие
- 'ed######lubdedocentes.com':443
- 'li###iendoc.com':443
UDP
- DNS ASK ap#.###bdedocentes.com
- DNS ASK ed######lubdedocentes.com
- DNS ASK x1.#.lencr.org
- DNS ASK x2.#.lencr.org
- DNS ASK li###iendoc.com
- DNS ASK so###ecool.com
- DNS ASK st#####s-et-deco.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx' (со скрытым окном)
