Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\beva4lsq247nv
- %TEMP%\uraefhggs
- %TEMP%\nsnf3a2.tmp\system.dll
Удаляет следующие файлы
- C:\users\public\vbc.exe
Сетевая активность
Подключается к
- '19#.#10.173.40':80
- 'ga#####irastore.online':80
- 'qu####mediato.space':80
- 'iw###roup.com':80
- 'ex####tionbrews.com':80
- 'on####twodudes.com':80
- 've####enswerte.com':80
- 'ir####oudvideo.com':80
- 'th#####hgoldline.com':80
- 'gu###only.com':80
- 'ch###abond.com':80
TCP
Запросы HTTP GET
- http://www.th####wclinic.com/dy8g/?sB#######################################################################################
- http://www.ci#####llardrealtor.com/dy8g/?sB#######################################################################################
UDP
- DNS ASK ga#####irastore.online
- DNS ASK qu####mediato.space
- DNS ASK my###amtv.net
- DNS ASK iw###roup.com
- DNS ASK ex####tionbrews.com
- DNS ASK li####ming.store
- DNS ASK th####wclinic.com
- DNS ASK on####twodudes.com
- DNS ASK ci#####llardrealtor.com
- DNS ASK ve####enswerte.com
- DNS ASK ir####oudvideo.com
- DNS ASK th#####hgoldline.com
- DNS ASK gu###only.com
- DNS ASK av####payment.life
- DNS ASK ch###abond.com
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\help.exe'
- '%WINDIR%\syswow64\cmd.exe' del "C:\Users\Public\vbc.exe"
- '%ProgramFiles(x86)%\mozilla firefox\firefox.exe'
