Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- vbc.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
Удаляет следующие файлы
- C:\users\public\vbc.exe
Сетевая активность
Подключается к
- 'ba###igium.com':80
- 'fo#####nsmilford.online':80
- 'ev#####onformula.com':80
- 'qu###ico.space':80
- 'nb##a.com':80
- '03###2222.com':80
- 'hj#.biz':80
TCP
Запросы HTTP GET
- http://ba###igium.com/PO8765.exe
- http://www.fo#####nsmilford.online/mczr/?cf################################################################################
- http://www.ev#####onformula.com/mczr/?cf################################################################################
- http://www.qu###ico.space/mczr/?cf################################################################################
- http://www.nb##a.com/mczr/?cf################################################################################
- http://www.hj#.biz/mczr/?cf################################################################################
UDP
- DNS ASK ba###igium.com
- DNS ASK fo#####nsmilford.online
- DNS ASK m-##.space
- DNS ASK sh#####advertising.com
- DNS ASK ev#####onformula.com
- DNS ASK qu###ico.space
- DNS ASK nb##a.com
- DNS ASK 03###2222.com
- DNS ASK sa###oes.legal
- DNS ASK hj#.biz
- DNS ASK ha#####ectroscope.info
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\raserver.exe'
- '%WINDIR%\syswow64\cmd.exe' del "C:\Users\Public\vbc.exe"
