Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %APPDATA%\with\count\conmanclient2.exe
- %APPDATA%\with\count\microsoftwindowsceforms.dll
- %TEMP%\crm\storeadm.exe
- %TEMP%\crm\type-windows.xml
- %TEMP%\crm\wikipedia-zh-tw.xml
- %TEMP%\crm\ieexecremote.dll
- %TEMP%\redesign\pbo\x-ocl.xml
- %TEMP%\redesign\pbo\projwizui.dll
- %TEMP%\euchre
- %TEMP%\redesign\pbo\ram.xml
- %APPDATA%\scriptlibrary\mcppcodedomprovider.dll
- %APPDATA%\scriptlibrary\previewobjectbar.xml
- %APPDATA%\scriptlibrary\appledouble.xml
- %APPDATA%\scriptlibrary\autolaytui.dll
- %APPDATA%\scriptlibrary\org.gnome.desktop.datetime.gschema.xml
- %APPDATA%\stow\model40.xml
- %APPDATA%\stow\gutils.dll
- %TEMP%\nsm6b41.tmp
- %APPDATA%\scriptlibrary\39.opends60.dll
- %TEMP%\tenrecsaggar.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://co##ec.ga/~zadmin/temp/0ha.exe
UDP
- DNS ASK co##ec.ga
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\rundll32.exe' TenrecSaggar,Output
- '%WINDIR%\syswow64\cmd.exe'
