Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- 7ox2mui24xu.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\m2emslii.dll
- %TEMP%\zjhwbc.hzb
- %TEMP%\7ox2mui24xu.exe
Удаляет следующие файлы
- %TEMP%\7ox2mui24xu.exe
Сетевая активность
Подключается к
- 'ow.ly':80
- 'aa#####hospitals.com':80
- 'ma####iozarate.com':80
- 'ic##olo.com':80
- 'si##zim.com':80
- 'dr######viceshouston.com':80
- 'me###cafe.com':80
- 'th#####lyorchard.net':80
- 'jy##fy.com':80
- 'in####healer.com':80
- '85###0692.xyz':80
- 'vo###nsland.com':80
- '46####balkey.com':80
- 'wo#####urcecloud.com':80
UDP
- DNS ASK ow.ly
- DNS ASK 46####balkey.com
- DNS ASK vo###nsland.com
- DNS ASK 85###0692.xyz
- DNS ASK ma####erysubway.com
- DNS ASK in####healer.com
- DNS ASK jy##fy.com
- DNS ASK sk###unkie.site
- DNS ASK th#####lyorchard.net
- DNS ASK dr######viceshouston.com
- DNS ASK si##zim.com
- DNS ASK ic##olo.com
- DNS ASK ma####iozarate.com
- DNS ASK aa#####hospitals.com
- DNS ASK al#######dykeghestqw.dns.army
- DNS ASK me###cafe.com
- DNS ASK wo#####urcecloud.com
Другое
Создает и запускает на исполнение
- '%TEMP%\7ox2mui24xu.exe' "%TEMP%\m2emslii.dll" "%TEMP%\zjhwbc.hzb"
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%TEMP%\7ox2mui24xu.exe"
