Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
- Процесс iexplore.exe, модуль wininet.dll
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\nsh2156.tmp
- %TEMP%\94mxnxs6o5zfxveqg986
- %TEMP%\zoszrekn
- %TEMP%\awcxv.exe
Удаляет следующие файлы
- %TEMP%\awcxv.exe
Сетевая активность
Подключается к
- '19#.#2.89.154':80
- 'we####ogramme.xyz':80
- 'id#####azononline.com':80
- 'be###uild.space':80
TCP
Запросы HTTP GET
- http://19#.#2.89.154/212/vbc.exe
- http://www.we####ogramme.xyz/ai26/?3f######################################################################################
- http://www.id#####azononline.com/ai26/?3f######################################################################################
- http://www.be###uild.space/ai26/?3f######################################################################################
UDP
- DNS ASK te###ints.host
- DNS ASK fi##spa.com
- DNS ASK we####ogramme.xyz
- DNS ASK jj##re.biz
- DNS ASK id#####azononline.com
- DNS ASK be###uild.space
- DNS ASK ji###cpa.com
Другое
Создает и запускает на исполнение
- '%TEMP%\awcxv.exe' %TEMP%\zoszrekn
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\msiexec.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%TEMP%\awcxv.exe"
