Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\frl9mnkh\windows-app-web-link[2].json
- %TEMP%\bit15f5.tmp
- %TEMP%\bit8375.tmp
- %TEMP%\bit8c7e.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\bit15f5.tmp
- %TEMP%\bit8375.tmp
Перемещает следующие файлы
- %TEMP%\bit15f5.tmp в %TEMP%\wctb37.tmp
- %TEMP%\bit8375.tmp в %TEMP%\wct8375.tmp
Сетевая активность
TCP
Запросы HTTP GET
- http://19#.#3.207.82/rmp/vbc.exe
Другие
- 'g.##ve.com':443
- 'on####ent.sfx.ms':443
UDP
- DNS ASK g.##ve.com
- DNS ASK on####ent.sfx.ms
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Запускает на исполнение
- '%ProgramFiles(x86)%\microsoft office\office16\excel.exe' /dde
- '%CommonProgramFiles(x86)%\microsoft shared\equation\eqnedt32.exe' -Embedding
