Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\bit666b.tmp
- %TEMP%\bit9caf.tmp
- %TEMP%\bita182.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\bit666b.tmp
- %TEMP%\bit9caf.tmp
Перемещает следующие файлы
- %TEMP%\bit666b.tmp в %TEMP%\wct65de.tmp
- %TEMP%\bit9caf.tmp в %TEMP%\wct9caf.tmp
Сетевая активность
TCP
Запросы HTTP GET
- http://19#.#2.91.144/http/vbc.exe
Другие
- 'g.##ve.com':443
- 'on####ent.sfx.ms':443
UDP
- DNS ASK g.##ve.com
- DNS ASK on####ent.sfx.ms
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\sc.exe' start wuauserv
- '<SYSTEM32>\apphostregistrationverifier.exe'
- '%ProgramFiles(x86)%\microsoft office\office16\excel.exe' /dde
- '%CommonProgramFiles(x86)%\microsoft shared\equation\eqnedt32.exe' -Embedding
