Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\OleView] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\OleView] 'ImagePath' = '%ALLUSERSPROFILE%\OleView\OleView.exe'
Создает следующие сервисы
- 'OleView' %ALLUSERSPROFILE%\OleView\OleView.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
- %WINDIR%\syswow64\msiexec.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\oleview.exe
- %TEMP%\rarsfx0\aclui.dll
- %TEMP%\rarsfx0\aclui.dll.ui
- %ALLUSERSPROFILE%\oleview\aclui.dll
- %ALLUSERSPROFILE%\oleview\aclui.dll.ui
- %ALLUSERSPROFILE%\oleview\oleview.exe
- %ALLUSERSPROFILE%\sxs\bug.log
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\oleview\aclui.dll
- %ALLUSERSPROFILE%\oleview\aclui.dll.ui
- %ALLUSERSPROFILE%\oleview\oleview.exe
Удаляет следующие файлы
- %TEMP%\rarsfx0\aclui.dll
- %TEMP%\rarsfx0\aclui.dll.ui
- %TEMP%\rarsfx0\oleview.exe
Самоудаляется.
Сетевая активность
UDP
- DNS ASK ft#.###acingmotor.com
- '<LOCALNET>.40.255':53
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\oleview.exe'
- '%ALLUSERSPROFILE%\oleview\oleview.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe' 201 0
- '%WINDIR%\syswow64\rundll32.exe' "%WINDIR%\syswow64\wininet.DLL",DispatchAPICall 1
- '%WINDIR%\syswow64\msiexec.exe' 209 248
