Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\sys.exe
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' copy-item 'C:\Users\Public\vbc.exe' '%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\sys.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- vbc.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
Удаляет следующие файлы
- C:\users\public\vbc.exe
Сетевая активность
Подключается к
- '19#.#44.176.246':80
- 'ly##adj.com':80
- 'fv####feworld.com':80
- 'bo####nlimited.com':80
- 'di####lwebhunt.com':80
- 'tb##.website':80
- 'sp##nui.com':80
- 'th####eeshow.com':80
- 'xi##dq.com':80
- 'pa#####srepublic.net':80
TCP
Запросы HTTP GET
- http://www.an####online.com/att3/?Sd#################################################################################
- http://www.fr###day.store/att3/?Sd#################################################################################
UDP
- DNS ASK ly##adj.com
- DNS ASK ib##dna.icu
- DNS ASK fv####feworld.com
- DNS ASK bo####nlimited.com
- DNS ASK di####lwebhunt.com
- DNS ASK tb##.website
- DNS ASK an####online.com
- DNS ASK sp##nui.com
- DNS ASK th####eeshow.com
- DNS ASK xi##dq.com
- DNS ASK sa###callon.com
- DNS ASK pa#####srepublic.net
- DNS ASK fr###day.store
- DNS ASK yo###rsmvp.com
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\wlanext.exe'
- '%WINDIR%\syswow64\cmd.exe' del "C:\Users\Public\vbc.exe"
