Техническая информация
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\autoconv.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
Удаляет следующие файлы
- %WINDIR%\microsoft.net\framework\v4.0.30319\caspol.exe
Сетевая активность
Подключается к
- '83.##7.157.90':80
- 're#####ecreditagric.mom':80
- '18##302.vip':80
- 'sn##q.store':80
- 'no###lpc.com':80
TCP
Запросы HTTP GET
- http://83.##7.157.90/p1.exe
- http://www.18##302.vip/g47e/?hL#############################################################################################
- http://www.sn##q.store/g47e/?hL#############################################################################################
- http://www.no###lpc.com/g47e/?hL#############################################################################################
UDP
- DNS ASK re#####ecreditagric.mom
- DNS ASK 18##302.vip
- DNS ASK sn##q.store
- DNS ASK no###lpc.com
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\microsoft.net\framework\v4.0.30319\caspol.exe'
- '%WINDIR%\syswow64\netstat.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%WINDIR%\Microsoft.NET\Framework\v4.0.30319\CasPol.exe"
