Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\nsveffa.tmp
- %TEMP%\cstxta257jld06c1
- %TEMP%\coemekkh
- %TEMP%\nztlfcfp.exe
Удаляет следующие файлы
- %TEMP%\nztlfcfp.exe
Сетевая активность
Подключается к
- '10#.#68.33.25':80
- 'cr#######renciesmarketcaps.com':80
- 'wo#####efirewalls.com':80
- 'di####.solutions':80
- 'ma####ine.online':80
TCP
Запросы HTTP GET
- http://10#.#68.33.25/800/vbc.exe
- http://www.cr#######renciesmarketcaps.com/m9y5/?00##############################################################################################
- http://www.wo#####efirewalls.com/m9y5/?00##############################################################################################
- http://www.di####.solutions/m9y5/?00##############################################################################################
- http://www.ma####ine.online/m9y5/?00##############################################################################################
UDP
- DNS ASK cr#######renciesmarketcaps.com
- DNS ASK ja###ture.com
- DNS ASK wo#####efirewalls.com
- DNS ASK di####.solutions
- DNS ASK ma####ine.online
- DNS ASK jo###obicho.top
Другое
Создает и запускает на исполнение
- '%TEMP%\nztlfcfp.exe' %TEMP%\coemekkh
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\msdt.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%TEMP%\nztlfcfp.exe"
