Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- vbc.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\vga5pd1y8alrynxym5
- %TEMP%\nsq7125.tmp\xzmetotz.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://10#.#45.254.163/699211116_11/vbc.exe
- http://www.es#####oradosprings.com/fqiq/?v8###########################################################################################
- http://www.ff###no43.xyz/fqiq/?m0###########################################################################################
- http://www.he#####weekendtips.com/fqiq/?m0###########################################################################################
UDP
- DNS ASK es#####oradosprings.com
- DNS ASK qu#####icks.community
- DNS ASK go####finance.com
- DNS ASK ff###no43.xyz
- DNS ASK su###oil4u.com
- DNS ASK he#####weekendtips.com
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Запускает на исполнение
- '%CommonProgramFiles(x86)%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\netsh.exe'
- '%WINDIR%\syswow64\cmd.exe' del "C:\Users\Public\vbc.exe"
