Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- vbc.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\nsrb56.tmp
- %TEMP%\nsrb57.tmp\uv03o.dll
Удаляет следующие файлы
- C:\users\public\vbc.exe
Сетевая активность
Подключается к
- 'bi#.do':80
- 'pv##a.com':80
- 'au#####anonymous.net':80
- 'th######lbusinessschool.com':80
- 'xj##ule.com':80
- 'sc####gister.net':80
- 'ma####iteforyou.com':80
- 'wa#####toproducts.com':80
- 'hi###emedya.com':80
- 'by######-strangesociety.com':80
- 'li###ishop.com':80
- 'ai###dslink.com':80
- 'el###ntool.com':80
TCP
Запросы HTTP GET
- http://www.vi####vert.store/smd0/?YH#####################################################################################
UDP
- DNS ASK bi#.do
- DNS ASK ju######randomthoughts.com
- DNS ASK li###ishop.com
- DNS ASK by######-strangesociety.com
- DNS ASK hi###emedya.com
- DNS ASK wa#####toproducts.com
- DNS ASK st####assets.com
- DNS ASK ai###dslink.com
- DNS ASK vi####vert.store
- DNS ASK sc####gister.net
- DNS ASK xj##ule.com
- DNS ASK th######lbusinessschool.com
- DNS ASK au#####anonymous.net
- DNS ASK pv##a.com
- DNS ASK st#######tlenverpibf.dns.army
- DNS ASK ma####iteforyou.com
- DNS ASK el###ntool.com
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\chkdsk.exe'
- '%WINDIR%\syswow64\cmd.exe' del "C:\Users\Public\vbc.exe"
