Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\autochk.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
Сетевая активность
Подключается к
- '34.#05.39.7':80
- 'ar##vus.com':80
- 'gs##nd.com':80
- 'th#####esswardllc.com':80
TCP
Запросы HTTP GET
- http://34.#05.39.7/wa/new.exe
- http://www.ar##vus.com/s3s3/?pL########################################################################################
- http://www.gs##nd.com/s3s3/?pL########################################################################################
- http://www.th#####esswardllc.com/s3s3/?pL########################################################################################
UDP
- DNS ASK ar##vus.com
- DNS ASK gs##nd.com
- DNS ASK th#####esswardllc.com
- DNS ASK be###003.xyz
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\notepad.exe'
- '%WINDIR%\syswow64\wlanext.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%WINDIR%\SysWOW64\notepad.exe"
- '%WINDIR%\syswow64\msdt.exe'
