Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
Удаляет следующие файлы
- C:\users\public\vbc.exe
Сетевая активность
Подключается к
- 'ca###xpress.com':80
- 'my####hpoultry.com':80
- 'pr###ees.com':80
- 'te#####awnandsnow.com':80
- 'wi####mswalker.com':80
- 'pu####button.com':80
- 'hu#####nelauraclaim.net':80
- 'do###uan168.com':80
- 'fx##k.com':80
TCP
Запросы HTTP GET
- http://www.ut####standwill.com/o8na/?AF####################################################################################
- http://www.ac######prettycosmetics.com/o8na/?AF####################################################################################
- http://www.bo#####adventure.info/o8na/?AF####################################################################################
UDP
- DNS ASK ca###xpress.com
- DNS ASK za####ebigbear.com
- DNS ASK my####hpoultry.com
- DNS ASK uk##tff.icu
- DNS ASK pr###ees.com
- DNS ASK ma####alikially.com
- DNS ASK te#####awnandsnow.com
- DNS ASK wi####mswalker.com
- DNS ASK pu####button.com
- DNS ASK ut####standwill.com
- DNS ASK bb####otvrwdbuy.com
- DNS ASK hu#####nelauraclaim.net
- DNS ASK ac######prettycosmetics.com
- DNS ASK do###uan168.com
- DNS ASK bo#####adventure.info
- DNS ASK fx##k.com
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\chkdsk.exe'
- '%WINDIR%\syswow64\cmd.exe' del "C:\Users\Public\vbc.exe"
- '%ProgramFiles(x86)%\mozilla firefox\firefox.exe'
