Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- vbc.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
Удаляет следующие файлы
- C:\users\public\vbc.exe
Сетевая активность
Подключается к
- 'an#######iracydesnzm.dns.army':80
- 'me###ane.com':80
- 'eo###uh5ia.men':80
- 'go###rabber.com':80
- 'qu##6.com':80
- 'to######anyonvintage.com':80
- 'ep######lloansonline.com':80
- 'el####ofranco.com':80
- 'aw######roughhereyes.com':80
TCP
Запросы HTTP GET
- http://www.st####st-cafe.com/incn/?nN########################################################################################
- http://www.ka###ansu.pro/incn/?nN########################################################################################
UDP
- DNS ASK an#######iracydesnzm.dns.army
- DNS ASK me###ane.com
- DNS ASK eo###uh5ia.men
- DNS ASK va####dslabs.com
- DNS ASK go###rabber.com
- DNS ASK qu##6.com
- DNS ASK sk##5.com
- DNS ASK st####st-cafe.com
- DNS ASK to######anyonvintage.com
- DNS ASK ep######lloansonline.com
- DNS ASK uo###lhwg.icu
- DNS ASK ka###ansu.pro
- DNS ASK el####ofranco.com
- DNS ASK aw######roughhereyes.com
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\cmmon32.exe'
- '%WINDIR%\syswow64\cmd.exe' del "C:\Users\Public\vbc.exe"
