Техническая информация
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\regsvr32.exe' /S ..\hucs1.ooocccxxx
- '<SYSTEM32>\regsvr32.exe' /S ..\hucs2.ooocccxxx
- '<SYSTEM32>\regsvr32.exe' /S ..\hucs3.ooocccxxx
- '<SYSTEM32>\regsvr32.exe' /S ..\hucs4.ooocccxxx
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\4ade0000
Подменяет следующие файлы
- <PATH_SAMPLE>.xls
Сетевая активность
Подключается к
- 'gl#####aborsupply.com':443
- 'x1.#.lencr.org':80
- 'fo###medica.in':80
- 'ru###ech.5v.pl':80
- '5v.pl':443
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
- http://fo###medica.in/CG4YYrfcFISmm7Q94/
- http://ru###ech.5v.pl/download/pl5/
- http://5v.pl/404.html
Другие
- 'gl#####aborsupply.com':443
- '5v.pl':443
UDP
- DNS ASK gl#####aborsupply.com
- DNS ASK x1.#.lencr.org
- DNS ASK dr###tas.com
- DNS ASK fo###medica.in
- DNS ASK ru###ech.5v.pl
- DNS ASK 5v.pl
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /S ..\hucs1.ooocccxxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\hucs2.ooocccxxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\hucs3.ooocccxxx' (со скрытым окном)
- '<SYSTEM32>\regsvr32.exe' /S ..\hucs4.ooocccxxx' (со скрытым окном)
