Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\nseb49f.tmp
- %TEMP%\kk2f9zwlwvo3ghi9f9
- %TEMP%\wqqynoeqp
- %TEMP%\fdvucso.exe
Удаляет следующие файлы
- %TEMP%\fdvucso.exe
Сетевая активность
Подключается к
- '10#.#68.33.25':80
- 'qz###hijy.com':80
- 'wo#####efirewalls.com':80
- 'a-#######us-retro-clothes.fyi':80
- 'de####unicorns.com':80
TCP
Запросы HTTP GET
- http://10#.#68.33.25/gtb/vbc.exe
- http://www.qz###hijy.com/m9y5/?Pb###########################################################################################
- http://www.wo#####efirewalls.com/m9y5/?Pb###########################################################################################
- http://www.a-#######us-retro-clothes.fyi/m9y5/?Pb###########################################################################################
- http://www.de####unicorns.com/m9y5/?Pb###########################################################################################
UDP
- DNS ASK as###club.com
- DNS ASK qz###hijy.com
- DNS ASK wo#####efirewalls.com
- DNS ASK rs###l.center
- DNS ASK a-#######us-retro-clothes.fyi
- DNS ASK de####unicorns.com
Другое
Создает и запускает на исполнение
- '%TEMP%\fdvucso.exe' %TEMP%\wqqynoeqp
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\systray.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%TEMP%\fdvucso.exe"
