Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
Удаляет следующие файлы
- %WINDIR%\microsoft.net\framework\v4.0.30319\addinprocess32.exe
Сетевая активность
Подключается к
- '23.##.106.15':80
- 'gi###sgbs.com':80
- 'gi#####oleggiato84.rest':80
- 'ke##68.com':80
- 'cr###et.info':80
- 'me#######ertisingpodcast.com':80
- 'to###rtasc.com':80
- 'ja###on.space':80
TCP
Запросы HTTP GET
- http://23.##.106.15/0722/vbc.exe
- http://www.gi#####oleggiato84.rest/mpbz/?PB#################################################################################
- http://www.cr###et.info/mpbz/?PB#################################################################################
- http://www.me#######ertisingpodcast.com/mpbz/?PB#################################################################################
- http://www.to###rtasc.com/mpbz/?PB#################################################################################
UDP
- DNS ASK gi###sgbs.com
- DNS ASK gi#####oleggiato84.rest
- DNS ASK ja######ankesurabaya.com
- DNS ASK ke##68.com
- DNS ASK cr###et.info
- DNS ASK me#######ertisingpodcast.com
- DNS ASK to###rtasc.com
- DNS ASK ja###on.space
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\microsoft.net\framework\v4.0.30319\addinprocess32.exe'
- '%WINDIR%\syswow64\napstat.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%WINDIR%\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe"
