Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\vbc.exe
- %APPDATA%\forrest\default_pages\setreg.exe
- %TEMP%\analyse\pocketpcpe2003skin.xml
- %TEMP%\notifications\clientshutdown.exe
- %APPDATA%\sitemap\family\fullscreenbar.xml
- %TEMP%\list_users\start\wikipedia.xml
- %TEMP%\list_users\start\almsgs.dll
- %TEMP%\list_users\start\47.opends60.dll
- %TEMP%\list_users\start\bionic.xml
- %TEMP%\list_users\start\3.comserverps.dll
- %TEMP%\list_users\start\pgp-signature.xml
- %TEMP%\geomancy
- %TEMP%\list_users\start\systemuserqueries.xml
- %APPDATA%\cases\accountsettings\single_pages\msats10ui.dll
- %APPDATA%\cases\accountsettings\single_pages\x-java-pack200.xml
- %APPDATA%\cases\accountsettings\single_pages\82.opends60.dll
- %APPDATA%\cases\accountsettings\single_pages\wminetutils.dll
- %APPDATA%\cases\accountsettings\single_pages\cmddef.dll
- %APPDATA%\cases\accountsettings\single_pages\helptopicstopictypefilter80.xml
- %APPDATA%\cases\accountsettings\single_pages\sbsdiasymreader.dll
- %APPDATA%\cases\accountsettings\single_pages\crtowordsen.dll
- %TEMP%\nsr33ed.tmp\nsexec.dll
- %TEMP%\nsc33dd.tmp
- %TEMP%\list_users\start\microsoftvsavb.dll
- %TEMP%\catsupennead.dll
Удаляет следующие файлы
- %TEMP%\nsr33ed.tmp\nsexec.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://wi##its.com/~zadmin/div/div.exe
UDP
- DNS ASK wi##its.com
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\rundll32.exe' CatsupEnnead,Minyan
- '%WINDIR%\syswow64\cmd.exe'
