Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
Сетевая активность
Подключается к
- '10#.#47.185.100':80
- 'pa#####importados.com':80
- 'he####yplantet.com':80
- 'ta###hukuk.com':80
- 'ch####mediaroom.com':80
TCP
Запросы HTTP GET
- http://10#.#47.185.100/0365/winlogo.exe
- http://10#.#47.185.100/secounritynetworkworldkeephackingforthefunnothingohsp/Airwvqkddeoqukhxbtymjuxvejaxomq
- http://www.pa#####importados.com/b2a4/?m2##############################################################################################
- http://www.he####yplantet.com/b2a4/?m2##############################################################################################
- http://www.ta###hukuk.com/b2a4/?m2##############################################################################################
- http://www.ch####mediaroom.com/b2a4/?m2##############################################################################################
UDP
- DNS ASK me####atours.online
- DNS ASK pa#####importados.com
- DNS ASK he####yplantet.com
- DNS ASK ta###hukuk.com
- DNS ASK ch####mediaroom.com
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\logagent.exe'
- '%WINDIR%\syswow64\wininit.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%WINDIR%\SysWOW64\logagent.exe"
