Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- vbc.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\nss4d07.tmp
- %TEMP%\cwo4g8pqmro
- %TEMP%\savum
- %TEMP%\nsi4d18.tmp\system.dll
Удаляет следующие файлы
- C:\users\public\vbc.exe
Сетевая активность
Подключается к
- '19#.#10.173.40':80
- 'an#######villemiddleschool.com':80
- 'jo####orcayo.com':80
- 'bu###bydawn.com':80
- 'ga#####irastore.online':80
- 'ir####oudvideo.com':80
- 'ca#####afoodstcloud.com':80
- 'ex####tionbrews.com':80
- 'ma###tekids.com':80
- 're####hopper.com':80
- 'on####twodudes.com':80
- 'th######ianhouseboat.com':80
UDP
- DNS ASK li####ming.store
- DNS ASK an#######villemiddleschool.com
- DNS ASK jo####orcayo.com
- DNS ASK as#####ts-almacenes.com
- DNS ASK bu###bydawn.com
- DNS ASK ga#####irastore.online
- DNS ASK ir####oudvideo.com
- DNS ASK ca#####afoodstcloud.com
- DNS ASK ex####tionbrews.com
- DNS ASK sa###flv.info
- DNS ASK gr###sei.com
- DNS ASK ma###tekids.com
- DNS ASK re####hopper.com
- DNS ASK on####twodudes.com
- DNS ASK th######ianhouseboat.com
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\svchost.exe'
- '%WINDIR%\syswow64\cmd.exe' del "C:\Users\Public\vbc.exe"
