Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- vbc.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\vbc.exe
Удаляет следующие файлы
- %TEMP%\vbc.exe
Сетевая активность
Подключается к
- 'po###.ddnsking.com':80
- '20####dsledge.com':80
- 'sw###missy.net':80
- 'om#####ainsurance.com':80
- 'ri#####ftstudios.com':80
- 'pa####riabooks.com':80
- 'il######tegenuinehope.xyz':80
- 'xu##h.com':80
UDP
- DNS ASK po###.ddnsking.com
- DNS ASK dn#.google
- DNS ASK 20####dsledge.com
- DNS ASK sw###missy.net
- DNS ASK om#####ainsurance.com
- DNS ASK ri#####ftstudios.com
- DNS ASK ib#####tlivewdmall.com
- DNS ASK th#####sofisrael.com
- DNS ASK ho#####carservices.com
- DNS ASK pa####riabooks.com
- DNS ASK il######tegenuinehope.xyz
- DNS ASK 12##0xk.com
- DNS ASK xu##h.com
Другое
Создает и запускает на исполнение
- '%TEMP%\vbc.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Test-Connection 8.8.8.8' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Test-Connection 8.8.8.8
- '%WINDIR%\syswow64\wlanext.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%TEMP%\vbc.exe"
