Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- vbc.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\2bxeekuusa
- %TEMP%\sggxby
- %TEMP%\nsh498e.tmp\system.dll
Удаляет следующие файлы
- C:\users\public\vbc.exe
Сетевая активность
Подключается к
- '19#.#10.173.40':80
- 'mc####petition.com':80
- 'gl###tore.com':80
- 'oc#####llaborative.com':80
- '5a####aliacl.com':80
- 'my####opianlife.com':80
- 'ca####findme.info':80
- 't4##ll.com':80
- '8b####portsbook.com':80
- 'ji###masks.com':80
- 'my#######tyhomeimprovements.com':80
- 'ko######anliftkiralama.site':80
TCP
Запросы HTTP GET
- http://www.co####raction.fund/bp3i/?_D###########################################################################################
UDP
- DNS ASK mc####petition.com
- DNS ASK gl###tore.com
- DNS ASK oc#####llaborative.com
- DNS ASK 5a####aliacl.com
- DNS ASK my####opianlife.com
- DNS ASK ca####findme.info
- DNS ASK t4##ll.com
- DNS ASK 8b####portsbook.com
- DNS ASK ji###masks.com
- DNS ASK ni###ips.xyz
- DNS ASK re###roir.com
- DNS ASK my#######tyhomeimprovements.com
- DNS ASK ko######anliftkiralama.site
- DNS ASK co####raction.fund
- DNS ASK tr###show.club
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\colorcpl.exe'
- '%WINDIR%\syswow64\cmd.exe' del "C:\Users\Public\vbc.exe"
