Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\LinasFTP\Site Manager]
- [<HKCU>\Software\FlashPeak\BlazeFtp\Settings]
- [<HKCU>\Software\Ghisler\Total Commander]
- [<HKCU>\Software\Far\Plugins\FTP\Hosts]
- [<HKCU>\Software\Far2\Plugins\FTP\Hosts]
- [<HKCU>\Software\VanDyke\SecureFX]
- [<HKLM>\Software\Wow6432Node\NCH Software\Fling\Accounts]
- [<HKCU>\Software\NCH Software\Fling\Accounts]
- [<HKLM>\Software\Wow6432Node\NCH Software\ClassicFTP\FTPAccounts]
- [<HKCU>\Software\NCH Software\ClassicFTP\FTPAccounts]
- [<HKCU>\Software\SimonTatham\PuTTY\Sessions]
- [<HKLM>\Software\Wow6432Node\SimonTatham\PuTTY\Sessions]
- [<HKCU>\Software\Martin Prikryl]
- [<HKLM>\Software\Wow6432Node\Martin Prikryl]
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %APPDATA%\mozilla\firefox\profiles.ini
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %APPDATA%\opera software\opera stable\login data
- %APPDATA%\thunderbird\profiles.ini
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %APPDATA%\e6f983\35a09b.hdb
- %LOCALAPPDATA%\microsoft\vault\4bf4c442-9b8a-41a0-b380-dd4a704ddb28\policy.vpol
- %ALLUSERSPROFILE%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\2f1a6504-0641-44cf-8bb5-3612d865f2e5.vsch
- %ALLUSERSPROFILE%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\3ccd5499-87a8-4b10-a215-608888dd3b55.vsch
- %ALLUSERSPROFILE%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\policy.vpol
- %TEMP%\dholebuffo.dll
- %TEMP%\largo
- %APPDATA%\extranet\bannerads\25.opends60.dll
- %APPDATA%\extranet\bannerads\x-adpcm.xml
- %APPDATA%\extranet\bannerads\pdmui.dll
- %APPDATA%\extranet\bannerads\x-wonderswan-color-rom.xml
- %APPDATA%\extranet\bannerads\xmlprettyprint.xml
- %APPDATA%\extranet\bannerads\cover.xml
- %TEMP%\cgi-bin\opinions\ipn\stdole.dll
- %APPDATA%\e6f983\35a09b.lck
- %TEMP%\cgi-bin\opinions\ipn\model88.xml
- %TEMP%\cgi-bin\opinions\ipn\x-xliff.xml
- %TEMP%\cgi-bin\opinions\ipn\msenc71ui.dll
- %TEMP%\cgi-bin\opinions\ipn\pgort80ui.dll
- %TEMP%\cgi-bin\opinions\ipn\vcpropertymanagerui.dll
- %TEMP%\cgi-bin\opinions\ipn\handlinglobusingclr.xml
- %TEMP%\cgi-bin\opinions\ipn\vslangproj2.dll
- %TEMP%\cgi-bin\opinions\ipn\model62.xml
- %TEMP%\cgi-bin\opinions\ipn\msddsui.dll
- %TEMP%\cgi-bin\opinions\ipn\aspnetregiis.exe
- %TEMP%\cgi-bin\opinions\ipn\sbscmp10.dll
- %TEMP%\cgi-bin\opinions\ipn\model110.xml
- %TEMP%\cgi-bin\opinions\ipn\vswebdesignedui.dll
- %TEMP%\nsr6559.tmp\nsexec.dll
- %TEMP%\nsr6558.tmp
- %TEMP%\cgi-bin\opinions\ipn\x-iptables.xml
- %APPDATA%\e6f983\35a09b.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\e6f983\35a09b.exe
Удаляет следующие файлы
- %TEMP%\nsr6559.tmp\nsexec.dll
- %APPDATA%\e6f983\35a09b.lck
Подменяет следующие файлы
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-1960123792-2022915161-3775307078-1001\f58155b4b1d5a524ca0261c3ee99fb50_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
Сетевая активность
Подключается к
- 'cr###mart.ga':80
TCP
Запросы HTTP GET
- http://ye#################uioiiouyuiuiopoipufresaaasdtyyyiiuyrterwrtrt.ydns.eu/0/love.exe
Запросы HTTP POST
- http://cr###mart.ga/main/config/herm/temp.php
UDP
- DNS ASK ye#################uioiiouyuiuiopoipufresaaasdtyyyiiuyrterwrtrt.ydns.eu
- DNS ASK cr###mart.ga
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\rundll32.exe' DholeBuffo,Poulenc
- '%WINDIR%\syswow64\cmd.exe'
