Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\regsvr32.exe' -s ..\xcah.dll
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\xcah.dll
- <Текущая директория>\65cd0000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'fl##eco.net':443
- 'er####dyator.com.tr':80
- 'hr.##vsrm.com':80
TCP
Запросы HTTP GET
- http://er####dyator.com.tr/Areas/wilcCqSEs6cEM3D/
- http://hr.##vsrm.com/wp-content/Jk6gOcQOpRWGwL/
- http://hr.##vsrm.com/cgi-sys/suspendedpage.cgi
Другие
- 'fl##eco.net':443
UDP
- DNS ASK fl##eco.net
- DNS ASK er####dyator.com.tr
- DNS ASK et####sailles.net
- DNS ASK te####iversonly.com
- DNS ASK hr.##vsrm.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' -s ..\xcah.dll' (со скрытым окном)
