Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx
Сетевая активность
Подключается к
- 'cu######terativos.com.br':80
- 'mu###tdol.com':80
- 'tu###den.com':80
- 'tu###den.com':443
- 'x1.#.lencr.org':80
- 'x2.#.lencr.org':80
- 'da#####qompatean.com':80
TCP
Запросы HTTP GET
- http://cu######terativos.com.br/semprichickoff2/pEl/
- http://mu###tdol.com/adm/Fa/
- http://www.tu###den.com/docs/csv_import/rf6bMPAtbBPiDK/
- http://x1.#.lencr.org/
- http://x2.#.lencr.org/
- http://www.da#####qompatean.com/asq/IcVMFfwR65Yf8fMd5G/
Другие
- 'tu###den.com':443
UDP
- DNS ASK cu######terativos.com.br
- DNS ASK mu###tdol.com
- DNS ASK tu###den.com
- DNS ASK x1.#.lencr.org
- DNS ASK x2.#.lencr.org
- DNS ASK da#####qompatean.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv1.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv2.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv3.ooccxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\oxnv4.ooccxx' (со скрытым окном)
