Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\vbc.exe
- %APPDATA%\keywords\bs\aspnetstate.exe
- %APPDATA%\keywords\bs\x-mo3.xml
- %APPDATA%\keywords\bs\50.opends60.dll
- %TEMP%\dispatch\prev\org.gnome.shell.extensions.dash-to-dock.gschema.xml
- %TEMP%\dispatch\prev\52.opends60.dll
- %APPDATA%\15\cvtres.exe
- %APPDATA%\15\metade.dll
- %APPDATA%\15\documentlist.xml
- %APPDATA%\15\vnd.sun.j2me.app-descriptor.xml
- %APPDATA%\rss\pro7600.xml
- %TEMP%\phalanstery
- %APPDATA%\rss\sbswminetutils.dll
- %APPDATA%\rss\people.xml
- %APPDATA%\rss\spcustom.dll
- %TEMP%\mchat\jpa\brands\linesbar.xml
- %TEMP%\mchat\jpa\brands\ibus-table.appdata.xml
- %TEMP%\mchat\jpa\brands\microsoftvisualstudiovcproject.dll
- %TEMP%\mchat\jpa\brands\33.opends60.dll
- %TEMP%\mchat\jpa\brands\59.opends60.dll
- %APPDATA%\deleteme\enum.xml
- %TEMP%\am\alumni_add\microsoftvsdesignerui.dll
- %TEMP%\nsm897b.tmp
- %APPDATA%\rss\mscorsecr.dll
- %TEMP%\blackface.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://ku############icationtarisupliermg52ntg.duckdns.org/kungdoc/winlog.exe
UDP
- DNS ASK ku############icationtarisupliermg52ntg.duckdns.org
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\rundll32.exe' Blackface,Breathing
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\explorer.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%WINDIR%\SysWOW64\cmd.exe"
