Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows Defender Updater' = '%TEMP%\update_221001.exe / start'
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие пользовательские процессы:
- vbc.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %APPDATA%\opera software\opera stable\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\newtonsoft.json.dll
- %WINDIR%\syswow64\newtonsoft.json.dll
- %TEMP%\nl_178bf1bf000306f2\prosesslist.txt
- %TEMP%\nl_178bf1bf000306f2\programlist.txt
- %TEMP%\nl_178bf1bf000306f2\screenshot.png
- %TEMP%\nl_178bf1bf000306f2\info.txt
- %TEMP%\zip.exe
- %TEMP%\nl_178bf1bf000306f2.zip
Удаляет следующие файлы
- %TEMP%\zip.exe
Перемещает следующие файлы
- C:\users\public\vbc.exe в %TEMP%\update_221001.exe
Сетевая активность
Подключается к
- '19#.#10.240.7':80
- 'ip##pi.com':80
- 'ha###unesi.info':80
TCP
Запросы HTTP GET
- http://19#.#10.240.7/pdf/day.exe
- http://ip##pi.com/json/
- http://ha###unesi.info/webpanel//gate.php?hw#####################
- http://ha###unesi.info/webpanel//task.php?hw#####################
UDP
- DNS ASK ip##pi.com
- DNS ASK ha###unesi.info
Другое
Создает и запускает на исполнение
- '%TEMP%\zip.exe'
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
