Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\nshb876.tmp
- %TEMP%\x2w3fdbla3ys
- %TEMP%\bxmal
- %TEMP%\ghgxnv.exe
Удаляет следующие файлы
- %TEMP%\ghgxnv.exe
Сетевая активность
Подключается к
- '10#.#07.39.170':80
- 'tr###adler.com':80
- 'jl##x.com':80
- 'gx##zs.com':80
TCP
Запросы HTTP GET
- http://10#.#07.39.170/melo/suzchi.exe
- http://www.tr###adler.com/m0d4/?Cf##############################################################################
- http://www.jl##x.com/m0d4/?Cf##############################################################################
- http://www.gx##zs.com/m0d4/?Cf##############################################################################
UDP
- DNS ASK tr###adler.com
- DNS ASK jl##x.com
- DNS ASK gx##zs.com
- DNS ASK al###erboxd.com
Другое
Создает и запускает на исполнение
- '%TEMP%\ghgxnv.exe' %TEMP%\bxmal
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\msdt.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%TEMP%\ghgxnv.exe"
