Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
- Процесс iexplore.exe, модуль wininet.dll
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\nsaa313.tmp
- %TEMP%\28xr11m9yus78zir0q
- %TEMP%\ljjnophbc
- %TEMP%\gdryhu.exe
Удаляет следующие файлы
- %TEMP%\gdryhu.exe
Сетевая активность
Подключается к
- '10#.#49.12.106':80
- 'zh###v111.info':80
- 'pr#####opasso.website':80
- 'sa####detector.net':80
- 'cz##g.xyz':80
TCP
Запросы HTTP GET
- http://10#.#49.12.106/cloudfile/scrss.exe
- http://www.zh###v111.info/fw02/?wD###########################################################################################
- http://www.pr#####opasso.website/fw02/?wD###########################################################################################
- http://www.sa####detector.net/fw02/?wD###########################################################################################
UDP
- DNS ASK zh###v111.info
- DNS ASK fo####ude-tech.com
- DNS ASK pr#####opasso.website
- DNS ASK sa####detector.net
- DNS ASK cz##g.xyz
Другое
Создает и запускает на исполнение
- '%TEMP%\gdryhu.exe' %TEMP%\ljjnophbc
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\netsh.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%TEMP%\gdryhu.exe"
