Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\remcos\logs.dat
Сетевая активность
Подключается к
- 'maps.google.com':80
- 'ca####t.netai.net':80
- '00###bhost.com':443
- 'google.com':443
- 'microsoft.com':80
- '64.##.102.244':1960
- 'ge###ugin.net':80
- 'oc##.#tartssl.com':80
TCP
Запросы HTTP GET
- http://maps.google.com/?sa##############################
- http://ca####t.netai.net/livestream/
- http://maps.google.com/maps?sa##############################
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
- http://ge###ugin.net/json.gp
- http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
Другие
- '00###bhost.com':443
- 'google.com':443
- '64.##.102.244':1960
UDP
- DNS ASK maps.google.com
- DNS ASK ca####t.netai.net
- DNS ASK 00###bhost.com
- DNS ASK google.com
- DNS ASK microsoft.com
- DNS ASK ge###ugin.net
- DNS ASK oc##.#tartssl.com
- DNS ASK st####.rapidssl.com
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe'
