Техническая информация
Для обеспечения автозапуска и распространения
Заражает следующие исполняемые файлы
- %ProgramFiles(x86)%\microsoft office\office16\winword.exe
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\obinnb74589.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- firefox.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
- Процесс iexplore.exe, модуль wininet.dll
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\obinnb74589.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\obinnb74589.exe.log
Сетевая активность
Подключается к
- '2.##.254.18':80
TCP
Запросы HTTP GET
- http://2.##.254.18/_errorpages/obizx.exe
UDP
- DNS ASK no###ofty.com
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Запускает на исполнение
- '%CommonProgramFiles(x86)%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\rundll32.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%APPDATA%\obinnb74589.exe"
