Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'VBouncerDL' = '%ProgramFiles(x86)%\VBouncer\VBouncerInner1123.exe /S'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\glb8e79.tmp
- %TEMP%\glc90f8.tmp
- %TEMP%\glk9128.tmp
- %TEMP%\glm936a.tmp
- %ProgramFiles(x86)%\vbouncer\~glh0000.tmp
- %ProgramFiles(x86)%\vbouncer\~glh0001.tmp
- %ProgramFiles%\vbouncer\temp.000
- %TEMP%\glb9fe7.tmp
- %TEMP%\glca341.tmp
- %TEMP%\glja39f.tmp
- %TEMP%\glka5d2.tmp
- %TEMP%\glma843.tmp
- %TEMP%\glgaca8.tmp
- %TEMP%\~glh0000.tmp
- %WINDIR%\syswow64\innerinstall.log
Удаляет следующие файлы
- %ProgramFiles(x86)%\vbouncer\vbouncereula.txt
- %ProgramFiles(x86)%\vbouncer\~glh0001.tmp
- %TEMP%\glk9128.tmp
- %TEMP%\glm936a.tmp
- %TEMP%\glc90f8.tmp
- %TEMP%\glb8e79.tmp
- %TEMP%\glgaca8.tmp
- %TEMP%\glka5d2.tmp
- %TEMP%\glja39f.tmp
- %TEMP%\glma843.tmp
- %TEMP%\glfacd8.tmp
- %TEMP%\glca341.tmp
- %TEMP%\glb9fe7.tmp
Перемещает следующие файлы
- %ProgramFiles(x86)%\vbouncer\~glh0000.tmp в %ProgramFiles(x86)%\vbouncer\vbouncereula.txt
- %ProgramFiles%\vbouncer\temp.000 в %ProgramFiles%\vbouncer\~glh0002.tmp
- %ProgramFiles%\vbouncer\~glh0002.tmp в %ProgramFiles%\vbouncer\vbouncerinner1123.exe
- %TEMP%\~glh0000.tmp в %TEMP%\glfacd8.tmp
Сетевая активность
Подключается к
- '64.##.219.23':80
UDP
- DNS ASK do######.spywarelabs.com
Другое
Создает и запускает на исполнение
- '%TEMP%\glb8e79.tmp' 4736 <Полный путь к файлу>
- '%TEMP%\glb9fe7.tmp' \S4736 C:\PROGRA~2\VBouncer\VBOUNC~1.EXE
- '%ProgramFiles%\vbouncer\vbounc~1.exe' /S' (со скрытым окном)
