Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- vbc.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
Удаляет следующие файлы
- C:\users\public\vbc.exe
Сетевая активность
Подключается к
- '10#.#33.106.199':80
- 'ka####ichang.com':80
- 'so####rngiggle.com':80
- 'le###uba.com':80
- 'bi###chfla.com':80
- 'za######ge-billstedt.com':80
- 'gt##.net':80
- 'we####dclones.com':80
- 'ha####oneybaby.com':80
- 'ar###xcorp.com':80
TCP
Запросы HTTP GET
- http://www.su###uku.com/imi7/?_0######################################################################################
UDP
- DNS ASK th##oft.com
- DNS ASK ka####ichang.com
- DNS ASK ab###art.com
- DNS ASK so####rngiggle.com
- DNS ASK le###uba.com
- DNS ASK bi###chfla.com
- DNS ASK za######ge-billstedt.com
- DNS ASK gt##.net
- DNS ASK bl#####lldesignco.com
- DNS ASK we####dclones.com
- DNS ASK ha####oneybaby.com
- DNS ASK ar###xcorp.com
- DNS ASK su###uku.com
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\rundll32.exe'
- '%WINDIR%\syswow64\cmd.exe' del "C:\Users\Public\vbc.exe"
