Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- vbc.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\nsd583e.tmp
- %TEMP%\x8abgzdx2taarfhvmdw
- %TEMP%\yerrxvolv
- %TEMP%\nsd583f.tmp\system.dll
Удаляет следующие файлы
- C:\users\public\vbc.exe
Сетевая активность
Подключается к
- '19#.#10.173.40':80
- 'be###.fitness':80
- 'in#####cedowntown.com':80
- 'an###aluz.com':80
- 'al####hospice.com':80
- 'we##wrd.com':80
- 'ha###nkayit.com':80
- 'dn####stified.com':80
- 'lo###vibe.com':80
- 'ba#####isticacademy.com':80
TCP
Запросы HTTP GET
- http://www.th#####epublican.net/sh2m/?xr#####################################################################################
- http://www.ji####feiyang.space/sh2m/?xr#####################################################################################
- http://www.gr######dofkrotzsprings.com/sh2m/?xr#####################################################################################
UDP
- DNS ASK be###.fitness
- DNS ASK th#####epublican.net
- DNS ASK in#####cedowntown.com
- DNS ASK an###aluz.com
- DNS ASK ja##l11.com
- DNS ASK al####hospice.com
- DNS ASK we##wrd.com
- DNS ASK ha###nkayit.com
- DNS ASK dn####stified.com
- DNS ASK ji####feiyang.space
- DNS ASK lo###vibe.com
- DNS ASK gr######dofkrotzsprings.com
- DNS ASK ba#####isticacademy.com
- DNS ASK oo###-amai.xyz
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\cmd.exe' del "C:\Users\Public\vbc.exe"
