Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- vbc.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\nscd46f.tmp
- %TEMP%\nscdcaa.tmp\sb9g8ai4h.dll
Удаляет следующие файлы
- C:\users\public\vbc.exe
Сетевая активность
Подключается к
- 'bi#.do':80
- 'st#######b2gotmenlop.dns.army':80
- 'de###halia.com':80
- 'ge###audio.com':80
- 'ir##ms.com':80
- 'la###tsbox.com':80
- 'zh###anmo.com':80
- 'sk###xf7j87.com':80
- 'we###cdi.com':80
- 'un###nptnrs.com':80
TCP
Запросы HTTP GET
- http://www.mi####ofthemitt.com/g832/?bF################################################################################
- http://www.ke######manconnection.com/g832/?bF################################################################################
UDP
- DNS ASK bi#.do
- DNS ASK mi####ofthemitt.com
- DNS ASK un###nptnrs.com
- DNS ASK we###cdi.com
- DNS ASK sk###xf7j87.com
- DNS ASK 79####rescue.com
- DNS ASK ho###apps.com
- DNS ASK mi######urufootballer.com
- DNS ASK zh###anmo.com
- DNS ASK la###tsbox.com
- DNS ASK ir##ms.com
- DNS ASK ge###audio.com
- DNS ASK de###halia.com
- DNS ASK me###gle.net
- DNS ASK st#######b2gotmenlop.dns.army
- DNS ASK zh###u.taipei
- DNS ASK ke######manconnection.com
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\systray.exe'
- '%WINDIR%\syswow64\cmd.exe' del "C:\Users\Public\vbc.exe"
