Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- vbc.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\nsr406.tmp
- %TEMP%\nsh417.tmp\p4bs.dll
Удаляет следующие файлы
- C:\users\public\vbc.exe
Сетевая активность
Подключается к
- 'bi#.do':80
- 'ba###opeful.com':80
- 'ma####enetti.com':80
- '5b##j.com':80
- 'th#####lyorchard.net':80
- 'my###zinc.com':80
- 'si##zim.com':80
- '85###0692.xyz':80
- 'bu##ino.net':80
- 'ma####iozarate.com':80
- 'bk##ep.xyz':80
- 'wo#####urcecloud.com':80
- 'cr#####nsbyjamie.com':80
- 'ex####erthecity.com':80
TCP
Запросы HTTP GET
- http://www.th#####adrinksco.com/nsag/?dZ#####################################################################################
UDP
- DNS ASK bi#.do
- DNS ASK wo#####urcecloud.com
- DNS ASK bk##ep.xyz
- DNS ASK ma####iozarate.com
- DNS ASK bu##ino.net
- DNS ASK 85###0692.xyz
- DNS ASK si##zim.com
- DNS ASK cr#####nsbyjamie.com
- DNS ASK my###zinc.com
- DNS ASK th#####lyorchard.net
- DNS ASK it###apella.com
- DNS ASK 5b##j.com
- DNS ASK ma####enetti.com
- DNS ASK ba###opeful.com
- DNS ASK st#######enkelvesken.dns.army
- DNS ASK th#####adrinksco.com
- DNS ASK ex####erthecity.com
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\cmstp.exe'
- '%WINDIR%\syswow64\cmd.exe' del "C:\Users\Public\vbc.exe"
