Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'BEDYRER' = '%HOMEPATH%\harmeligst\cranioplasty.vbs'
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\vbc.exe'
Внедряет код в
следующие пользовательские процессы:
- cranioplasty.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\vbc.exe
- %HOMEPATH%\harmeligst\cranioplasty.exe
- %HOMEPATH%\harmeligst\cranioplasty.vbs
Сетевая активность
TCP
Запросы HTTP GET
- http://13#.#80.163.57/svchost.exe
- http://21#.#38.205.164/Host_encrypted_F17BD4F.bin
UDP
- DNS ASK el#####king444.ddns.net
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\harmeligst\cranioplasty.exe'
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
