Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- vbc.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
Удаляет следующие файлы
- C:\users\public\vbc.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://21#.#70.126.121/hkcmd/vbc.exe
- http://www.br####kinbird.com/mfg6/?t2#############################################################################################
- http://www.pe###roup.com/mfg6/?t2#############################################################################################
- http://www.sc####ossonhos.com/mfg6/?t2#############################################################################################
- http://www.ch##tm8.com/mfg6/?t2#############################################################################################
- http://www.mu##iry.com/mfg6/?t2#############################################################################################
- http://www.ph#####inesjobbank.com/mfg6/?t2#############################################################################################
UDP
- DNS ASK br####kinbird.com
- DNS ASK pe###roup.com
- DNS ASK ka###pon.com
- DNS ASK sc####ossonhos.com
- DNS ASK ch##tm8.com
- DNS ASK mu##iry.com
- DNS ASK co####etherapie.com
- DNS ASK ph#####inesjobbank.com
- DNS ASK se#####hthetwins.com
- DNS ASK fi###cart.xyz
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\mstsc.exe'
- '%WINDIR%\syswow64\cmd.exe' del "C:\Users\Public\vbc.exe"
