Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- djil2y5dhaa5lug.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\nsd392a.tmp
- %TEMP%\xurkiqpyy.exe
- %TEMP%\pfyrbxuynx.o
- %TEMP%\bsgvlvdro.cga
- %TEMP%\djil2y5dhaa5lug.exe
Удаляет следующие файлы
- %TEMP%\djil2y5dhaa5lug.exe
Сетевая активность
Подключается к
- 'sa####emasks.com':80
- '92##pf.com':80
- 'mc#.ltd':80
- 'ge###haven.com':80
- 'l7###itam.xyz':80
- 'oo##.club':80
- 'ma####nsaat.info':80
- 'ge#####stablecoin.com':80
UDP
- DNS ASK ap####capitalp.com
- DNS ASK ju####mbrace.com
- DNS ASK sa####emasks.com
- DNS ASK 92##pf.com
- DNS ASK dc###ers.net
- DNS ASK mc#.ltd
- DNS ASK ge###haven.com
- DNS ASK ch####ingtong.com
- DNS ASK md###qbp.icu
- DNS ASK l7###itam.xyz
- DNS ASK oo##.club
- DNS ASK ma####nsaat.info
- DNS ASK ge#####stablecoin.com
- DNS ASK te####reprime.com
- DNS ASK xw##j.com
- DNS ASK re####e-paypal.com
Другое
Создает и запускает на исполнение
- '%TEMP%\xurkiqpyy.exe' %TEMP%\pfyrbxuynx.o
- '%TEMP%\djil2y5dhaa5lug.exe' %TEMP%\pfyrbxuynx.o
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\systray.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%TEMP%\djil2y5dhaa5lug.exe"
