Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- vbc.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\nsr62e8.tmp\eeysn2cunceh9.dll
Удаляет следующие файлы
- C:\users\public\vbc.exe
Сетевая активность
Подключается к
- 'ow.ly':80
- 'kr####agiri.info':80
- '85###0692.xyz':80
- 'ou##um.club':80
- 'al######lleytimeshares.com':80
- 'dr######viceshouston.com':80
- 'or###omer.com':80
- 'ha####hawatmi.com':80
- 'gl###heblog.com':80
- 'cr#####nsbyjamie.com':80
- 'be####ycarpethd.com':80
- 'bk##ep.xyz':80
UDP
- DNS ASK ow.ly
- DNS ASK al#######dykegfister.dns.army
- DNS ASK kr####agiri.info
- DNS ASK 85###0692.xyz
- DNS ASK ou##um.club
- DNS ASK al######lleytimeshares.com
- DNS ASK dr######viceshouston.com
- DNS ASK or###omer.com
- DNS ASK ha####hawatmi.com
- DNS ASK gl###heblog.com
- DNS ASK ch####dskeitaro.com
- DNS ASK cr#####nsbyjamie.com
- DNS ASK be####ycarpethd.com
- DNS ASK bk##ep.xyz
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\cscript.exe'
- '%WINDIR%\syswow64\cmd.exe' del "C:\Users\Public\vbc.exe"
