Technical Information
To ensure autorun and distribution
Modifies the following registry keys
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdate' = '%TEMP%\vjcb\bdphlod.exe %TEMP%\vjcb\whvlqpsu.mp3'
Malicious functions
Injects code into
the following system processes:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe
Modifies file system
Creates the following files
- %TEMP%\vjcb\wjkaeshej.mpe
- %TEMP%\vjcb\qbxjjgx.pdf
- %TEMP%\vjcb\hptbmwtpal.mp3
- %TEMP%\vjcb\xijeii.icm
- %TEMP%\vjcb\rsustqto.exe
- %TEMP%\vjcb\bfglula.xml
- %TEMP%\vjcb\ndspvqkpsg.jpg
- %TEMP%\vjcb\jencfef.xls
- %TEMP%\vjcb\kouokhhkr.pdf
- %TEMP%\vjcb\drwkp.bin
- %TEMP%\vjcb\ejusopjg.xml
- %TEMP%\vjcb\idhrvwtg.msc
- %TEMP%\vjcb\nqinhrpn.docx
- %TEMP%\vjcb\pjlk.xls
- %TEMP%\vjcb\eelrbbbh.dat
- %TEMP%\vjcb\strdwk.dat
- %TEMP%\vjcb\brbchbuo.xls
- %TEMP%\vjcb\njhk.msc
- %TEMP%\vjcb\rvavc.xml
- %TEMP%\vjcb\nnoi.ppt
- %TEMP%\vjcb\tqksnc.xml
- %TEMP%\vjcb\wsdixis.xml
- %TEMP%\vjcb\bheqtjcdux.ini
- %TEMP%\vjcb\kjrma.bin
- %TEMP%\vjcb\vmtaq.icm
- %TEMP%\vjcb\xunwrvbf.dat
- %TEMP%\vjcb\osdjlhb.mp3
- %TEMP%\vjcb\mnnw.ppt
- %TEMP%\vjcb\bnnlmlj.txt
- %TEMP%\vjcb\krwquqa.xml
- %TEMP%\vjcb\ueihnu.msc
- %TEMP%\vjcb\pfbuubc.pdf
- %TEMP%\vjcb\runmps.bin
- %TEMP%\vjcb\qunxxm.docx
- %TEMP%\vjcb\nrxmro.xml
- %TEMP%\vjcb\ggvqsle.bin
- %TEMP%\vjcb\atrx.exe
- %TEMP%\vjcb\vofvodlfh.xl
- %TEMP%\vjcb\iucubhvfap.icm
- %TEMP%\vjcb\lxdfnu.exe
- %TEMP%\vjcb\vcjlai.xl
- %TEMP%\vjcb\dmphswxvuj.dll
- %TEMP%\vjcb\nqrmskr.exe
- %TEMP%\vjcb\rqei.bin
- %TEMP%\vjcb\uhlxbq.jpg
- %TEMP%\vjcb\lphwv.msc
- %TEMP%\vjcb\hnasdmm.bin
- %TEMP%\vjcb\rbrhsrgjv.pdf
- %TEMP%\vjcb\oemfhqaumo.ppt
- %TEMP%\vjcb\uiff.exe
- %TEMP%\vjcb\weeqaf.ini
- %TEMP%\vjcb\ondth.xl
- %TEMP%\vjcb\bjoxvfggdu.docx
- %TEMP%\vjcb\qnfd.icm
- %TEMP%\vjcb\gsrqwbgss.docx
- %TEMP%\vjcb\enah.mp3
- %TEMP%\vjcb\lubucwd.dat
- %TEMP%\vjcb\kbdgeocqdg.dat
- %TEMP%\vjcb\smmhgii.dat
- %TEMP%\vjcb\usnbqrk.bmp
- %TEMP%\vjcb\fxbepujeg.xls
- %TEMP%\vjcb\ersxggsd.bin
- %TEMP%\vjcb\tpqox.dll
- %TEMP%\vjcb\ndgnjh.dat
- %TEMP%\vjcb\qumev.ppt
- %TEMP%\vjcb\lxqdrc.exe
- %TEMP%\vjcb\ahxflxsrhr.mp3
- %TEMP%\vjcb\tacmdcmbb.xls
- %TEMP%\vjcb\ikxnhpdeu.icm
- %TEMP%\vjcb\vhin.dat
- %TEMP%\vjcb\xllvhb.dll
- %TEMP%\vjcb\qfiopbrdid.dat
- %TEMP%\vjcb\duhiesk.bmp
- %TEMP%\vjcb\knmkh.bmp
- %TEMP%\vjcb\oqmovwda.dll
- %TEMP%\vjcb\gdebp.xl
- %TEMP%\vjcb\mgpxaadhf.msc
- %TEMP%\vjcb\raaccphcpo.icm
- %TEMP%\vjcb\tbvcucjgu.xml
- %TEMP%\vjcb\rjheho.xml
- %TEMP%\vjcb\rhshakjl.bin
- %TEMP%\vjcb\snobhe.jpg
- %TEMP%\vjcb\ktpc.xml
- %TEMP%\vjcb\hglxtvd.msc
- %TEMP%\vjcb\jvhrpwe.ppt
- %TEMP%\vjcb\hftwpwuteb.exe
- %TEMP%\vjcb\jwsrqqs.msc
- %TEMP%\vjcb\qfcxw.dat
- %TEMP%\vjcb\vmip.jpg
- %TEMP%\vjcb\nokdgpg.bmp
- %TEMP%\vjcb\xolqcig.xml
- %TEMP%\vjcb\plpim.txt
- %TEMP%\vjcb\rxdptor.txt
- %TEMP%\vjcb\tbmv.jpg
- %TEMP%\vjcb\shwsvl.dat
- %TEMP%\vjcb\gmho.icm
- %TEMP%\vjcb\drqpko.ini
- %TEMP%\vjcb\drklv.dll
- %TEMP%\vjcb\pokp.msc
- %TEMP%\vjcb\kwfaxdjk.txt
- %TEMP%\vjcb\aoobnghs.dll
- %TEMP%\vjcb\fplac.mp3
- %TEMP%\vjcb\heqwcwhjx.dat
- %TEMP%\vjcb\lhjoemtlkx.icm
- %TEMP%\vjcb\bcghmgs.dat
- %TEMP%\vjcb\goagwnabat.dat
- %TEMP%\vjcb\nbpdar.txt
- %TEMP%\vjcb\dngxwxdcvr.bin
- %TEMP%\vjcb\bikchk.ini
- %TEMP%\vjcb\cghowrmm.docx
- %TEMP%\vjcb\qtkndrm.jpg
- %TEMP%\vjcb\fesbwg.icm
- %TEMP%\vjcb\gopw.jpg
- %TEMP%\vjcb\tdwrnue.ppt
- %TEMP%\vjcb\ndqoimgpa.msc
- %TEMP%\vjcb\lmnskevwp.pdf
- %TEMP%\vjcb\kowjwsbsx.xml
- %TEMP%\vjcb\jpjf.icm
- %TEMP%\vjcb\luow.ppt
- %TEMP%\vjcb\crmtp.exe
- %TEMP%\vjcb\wotjgoqei.icm
- %TEMP%\vjcb\gmjfmxrk.msc
- %TEMP%\vjcb\wkplea.exe
- %TEMP%\vjcb\jdvxnih.icm
- %TEMP%\vjcb\qurbfag.xl
- %TEMP%\vjcb\odrhitoo.pdf
- %TEMP%\vjcb\krrqfmq.docx
- %TEMP%\vjcb\wkkuxdl.xl
- %TEMP%\vjcb\mrmkh.xl
- %TEMP%\vjcb\fmut.exe
- %TEMP%\vjcb\mkhrvll.bmp
- %TEMP%\vjcb\gxtw.ppt
- %TEMP%\vjcb\uckblmge.ini
- %TEMP%\vjcb\gdwd.bin
- %TEMP%\vjcb\stadwwb.ini
- %TEMP%\vjcb\dwgffkh.icm
- %TEMP%\vjcb\ukpkv.pdf
- %TEMP%\vjcb\bticm.docx
- %TEMP%\vjcb\gwki.txt
- %TEMP%\vjcb\oijrwff.xls
- %TEMP%\vjcb\mrckmjhb.docx
- %TEMP%\vjcb\ojiu.bin
- %TEMP%\vjcb\eexwwfd.xl
- %TEMP%\vjcb\bvadhr.exe
- %TEMP%\vjcb\chockrufqk.xml
- %TEMP%\vjcb\msccqow.jpg
- %TEMP%\vjcb\mvkllpbsp.icm
- %TEMP%\vjcb\mtnic.jpg
- %TEMP%\vjcb\somx.icm
- %TEMP%\vjcb\cdtmgko.jpg
- %TEMP%\vjcb\vgwf.msc
- %TEMP%\vjcb\serwficgg.dat
- %TEMP%\vjcb\vxbuvgv.ppt
- %TEMP%\vjcb\cgcmpoxr.ppt
- %TEMP%\vjcb\vlrubrf.msc
- %TEMP%\vjcb\gfjbfnin.xls
- %TEMP%\vjcb\auktreoc.icm
- %TEMP%\vjcb\lahts.icm
- %TEMP%\vjcb\sdhegduneq.ini
- %TEMP%\vjcb\jtmknlf.xml
- %TEMP%\vjcb\hkeprmj.icm
- %TEMP%\vjcb\mjogf.xl
- %TEMP%\vjcb\obrlirpd.dll
- %TEMP%\vjcb\mifn.icm
- %TEMP%\vjcb\nfjtdd.jpg
- %TEMP%\vjcb\jpnfxw.bmp
- %TEMP%\vjcb\xsirgd.bin
- %TEMP%\vjcb\pigjuq.xml
- %TEMP%\vjcb\gcbh.icm
- %TEMP%\vjcb\fepuhsqsp.xl
- %TEMP%\vjcb\sbabnq.txt
- %TEMP%\vjcb\ailorsff.xls
- %TEMP%\vjcb\vbjqgpgjx.ppt
- %TEMP%\vjcb\hmunv.xml
- %TEMP%\vjcb\jfbt.xl
- %TEMP%\vjcb\prri.docx
- %TEMP%\vjcb\wgtwodaox.icm
- %TEMP%\vjcb\jaaoi.bmp
- %TEMP%\vjcb\aknhmpeuj.docx
- %TEMP%\vjcb\skfik.xls
- %TEMP%\vjcb\jpxvlm.pdf
- %TEMP%\vjcb\ldnwk.bin
- %TEMP%\vjcb\cmlk.msc
- %TEMP%\vjcb\amaxr.dat
- %TEMP%\vjcb\locbkhmj.txt
- %TEMP%\vjcb\vcujbskkh.bmp
- %TEMP%\vjcb\gvgpk.jpg
- %TEMP%\vjcb\wfdxnkn.txt
- %TEMP%\vjcb\jwhmol.ini
- %TEMP%\vjcb\piiecc.exe
- %TEMP%\vjcb\cgwe.icm
- %TEMP%\vjcb\vaohxgmwcl.pdf
- %TEMP%\vjcb\hcbllni.bmp
- %TEMP%\vjcb\vxgcokkh.exe
- %TEMP%\vjcb\fkrxidrtml.xml
- %TEMP%\vjcb\kxurbcoq.msc
- %TEMP%\vjcb\kjhvohiuf.dll
- %TEMP%\vjcb\dcxmu.icm
- %TEMP%\vjcb\trljvqlcs.docx
- %TEMP%\vjcb\hcbn.dat
- %TEMP%\vjcb\iatuno.jpg
- %TEMP%\vjcb\lgivhurg.xl
- %TEMP%\vjcb\pbks.dll
- %TEMP%\vjcb\nppkmlkeg.msc
- %TEMP%\vjcb\qalvthv.bin
- %TEMP%\vjcb\rjqnbilrt.msc
- %TEMP%\vjcb\chehkxfqu.xml
- %TEMP%\vjcb\deae.docx
- %TEMP%\vjcb\ieujfrkmd.ppt
- %TEMP%\vjcb\fjbn.mp3
- %TEMP%\vjcb\frfxb.icm
- %TEMP%\vjcb\sbpx.msc
- %TEMP%\vjcb\imbjp.pdf
- %TEMP%\vjcb\klepdfegi.txt
- %TEMP%\vjcb\pxbmv.dll
- %TEMP%\vjcb\xuunk.xls
- %TEMP%\vjcb\mqokxpnnx.icm
- %TEMP%\vjcb\nnbrb.icm
- %TEMP%\vjcb\gvknc.jpg
- %TEMP%\vjcb\xkprvq.mp3
- %TEMP%\vjcb\bwaurklgsh.xml
- %TEMP%\vjcb\vnkkjkgn.bmp
- %TEMP%\vjcb\bfgigqlg.pdf
- %TEMP%\vjcb\qvhfrlec.icm
- %TEMP%\vjcb\gguaitjxka.mp3
- %TEMP%\vjcb\gawsfcq.dat
- %TEMP%\vjcb\vmvig.dat
- %TEMP%\vjcb\acqwxc.xl
- %TEMP%\vjcb\hqniikn.icm
- %TEMP%\vjcb\voutq.pdf
- %TEMP%\vjcb\mrptfxar.icm
- %TEMP%\vjcb\fijpmfgakt.xml
- %TEMP%\vjcb\dphvoboe.xml
- %TEMP%\vjcb\wtuhgrou.dll
- %TEMP%\vjcb\faimgpsih.docx
- %TEMP%\vjcb\stkw.docx
- %TEMP%\vjcb\rxidu.dll
- %TEMP%\vjcb\tlfnpltgmu.xml
- %TEMP%\vjcb\rtuglnrp.xl
- %TEMP%\vjcb\bthccr.xl
- %TEMP%\vjcb\abswqp.pdf
- %TEMP%\vjcb\fpvi.docx
- %TEMP%\vjcb\rsfjmfs.xml
- %TEMP%\vjcb\ffophh.xls
- %TEMP%\vjcb\cxustamv.exe
- %TEMP%\vjcb\wxbkrssbh.txt
- %TEMP%\vjcb\cbietjgwq.msc
- %TEMP%\vjcb\lbfgsfail.msc
- %TEMP%\vjcb\ampughgv.xml
- %TEMP%\vjcb\cqmffg.xml
- %TEMP%\vjcb\xbaaqvre.txt
- %TEMP%\vjcb\heoh.msc
- %TEMP%\vjcb\otwhq.ini
- %TEMP%\vjcb\uvnklx.txt
- %TEMP%\vjcb\wttsstuhf.pdf
- %TEMP%\vjcb\tcnrjrddb.mp3
- %TEMP%\vjcb\eksevqxb.xml
- %TEMP%\vjcb\bcidauqad.msc
- %TEMP%\vjcb\csrvo.xl
- %TEMP%\vjcb\hekhvkh.pdf
- %TEMP%\vjcb\hwfhmdhqvp.bin
- %TEMP%\vjcb\spxpcgqf.msc
- %TEMP%\vjcb\qefvbsn.icm
- %TEMP%\vjcb\askv.dat
- %TEMP%\vjcb\smpfwpugbv.ini
- %TEMP%\vjcb\fkvd.xml
- %TEMP%\vjcb\akko.jpg
- %TEMP%\vjcb\dqqouhcm.ppt
- %TEMP%\vjcb\eblenmidt.xml
- %TEMP%\vjcb\qabuv.xml
- %TEMP%\vjcb\gefsj.mp3
- %TEMP%\vjcb\colljshg.txt
- %TEMP%\vjcb\lcjv.xml
- %TEMP%\vjcb\hdgdj.exe
- %TEMP%\vjcb\wvmohga.icm
- %TEMP%\vjcb\vlhncadfh.msc
- %TEMP%\vjcb\vbtmrxmw.dat
- %TEMP%\vjcb\xfxefeoid.ppt
- %TEMP%\vjcb\csna.dll
- %TEMP%\vjcb\ixnkqa.xml
- %TEMP%\vjcb\lomfvnsk.dat
- %TEMP%\vjcb\ictndu.ppt
- %TEMP%\vjcb\hwwwklabb.pdf
- %TEMP%\vjcb\qbmtcv.msc
- %TEMP%\vjcb\juxqdjcffj.txt
- %TEMP%\vjcb\bdphlod.exe
- %TEMP%\vjcb\xtsbd-tkxrhigebx.msc.vbe
- %TEMP%\vjcb\whvlqpsu.mp3
- %TEMP%\vjcb\bjlilo.txt
- %TEMP%\vjcb\wqwau.pdf
- %TEMP%\vjcb\jvcnfkft.jpg
- %TEMP%\vjcb\mrgip.ini
- %TEMP%\vjcb\vwvji.ppt
- %TEMP%\vjcb\keqn.jpg
- %TEMP%\vjcb\urlrctucvr.xl
- %TEMP%\vjcb\erhaa.icm
- %TEMP%\vjcb\irfx.msc
- %TEMP%\vjcb\jmdwvq.bmp
- %TEMP%\vjcb\jvueuwwlv.mp3
- %TEMP%\vjcb\tqpswwouef.xml
- %TEMP%\vjcb\bvhwxqdbu.xml
- %TEMP%\vjcb\jmaq.xls
- %TEMP%\vjcb\koliokd.bin
- %TEMP%\vjcb\lwvhhxt.txt
- %TEMP%\vjcb\eefxvp.docx
- %TEMP%\vjcb\hxooxarb.icm
- %TEMP%\vjcb\ldhinvu.xml
- %TEMP%\vjcb\lujaib.msc
- %TEMP%\vjcb\nbbck.mp3
- %TEMP%\vjcb\dddhulxaut.icm
- %TEMP%\vjcb\mggfwaahg.msc
- %TEMP%\vjcb\twse.bmp
- %TEMP%\vjcb\jhctujuvw.dat
- %TEMP%\vjcb\dgapxudaoj.txt
- %TEMP%\vjcb\mpbjobvcg.ppt
- %TEMP%\vjcb\bjvqmjunrd.bin
- %TEMP%\vjcb\eqvluru.jpg
- %TEMP%\vjcb\insm.msc
- %TEMP%\vjcb\krplgjsm.xls
- %TEMP%\vjcb\lbhm.pdf
- %TEMP%\vjcb\cuem.icm
- %TEMP%\vjcb\wdag.msc
- %TEMP%\vjcb\vldcsd.icm
- %TEMP%\vjcb\qpcottot.dat
- %TEMP%\vjcb\dnqqtbki.icm
- %TEMP%\vjcb\dgrt.xml
- %TEMP%\vjcb\kmmhk.xml
- %TEMP%\vjcb\rpvadbbs.xml
- %TEMP%\vjcb\tqdduuof.bmp
- %TEMP%\vjcb\cdtjwomtnf.bin
- %TEMP%\vjcb\eeqd.icm
- %TEMP%\vjcb\kkpjkh.mp3
- %TEMP%\vjcb\wphjdtdf.mp3
- %TEMP%\vjcb\hmnrhv.xml
- %TEMP%\vjcb\gwphuptwi.xl
- %TEMP%\vjcb\hpilxavqt.xml
- %TEMP%\vjcb\anuobehgu.bin
- %TEMP%\vjcb\jnipcu.msc
- %TEMP%\vjcb\lgwnqgn.pdf
- %TEMP%\vjcb\jteg.icm
- %TEMP%\vjcb\ahhhfodp.msc
- %TEMP%\vjcb\devp.dat
- %TEMP%\vjcb\ocqqhvafdk.exe
- %TEMP%\vjcb\oljhc.icm
- %TEMP%\vjcb\oqkdci.icm
- %TEMP%\vjcb\ptdd.bin
- %TEMP%\vjcb\vpgiofimkh.bmp
- %TEMP%\vjcb\kfouvbkhde.xl
- %TEMP%\vjcb\bilftktwqn.icm
- %TEMP%\vjcb\wilhhbkj.jpg
- %TEMP%\vjcb\qptqc.jpg
- %TEMP%\vjcb\lxqijk.ppt
- %TEMP%\vjcb\tpjbprai.jpg
- %TEMP%\vjcb\gxbkg.pdf
- %TEMP%\vjcb\alsu.mp3
- %TEMP%\vjcb\umlh.jpg
- %TEMP%\vjcb\wpiaelx.xls
- %TEMP%\vjcb\dnee.docx
- %TEMP%\vjcb\talrxk.bin
- %TEMP%\vjcb\qabgru.icm
- %TEMP%\vjcb\wohilwu.xml
- %TEMP%\vjcb\gbeqouu.ini
- %TEMP%\vjcb\btafvej.icm
- %TEMP%\vjcb\swjs.ppt
- %TEMP%\vjcb\saxuox.ppt
- %TEMP%\vjcb\sohxec.docx
- %TEMP%\vjcb\arclipdeu.icm
- %TEMP%\vjcb\ipuooog.ini
- %TEMP%\vjcb\uaplfpre.xls
- %TEMP%\vjcb\hdvagxubqd.exe
- %TEMP%\vjcb\maotxnjtut.xml
- %TEMP%\vjcb\xpjv.icm
- %TEMP%\vjcb\odrnoasfd.xls
- %TEMP%\vjcb\rhgh.msc
- %TEMP%\vjcb\lbrmgmlfms.msc
- %TEMP%\vjcb\rvewvfo.icm
- %TEMP%\vjcb\mjlmug.dll
- %TEMP%\vjcb\lehjfiwkf.docx
- %TEMP%\vjcb\bqcijnfbc.txt
- %TEMP%\vjcb\strmx.bmp
- %TEMP%\vjcb\rxoqoq.msc
- %TEMP%\vjcb\obwcst.bmp
- %TEMP%\vjcb\ipli.pdf
- %TEMP%\vjcb\onnup.bin
- %TEMP%\vjcb\eeiuk.xml
- %TEMP%\vjcb\qvnrfalnxk.ini
- %TEMP%\vjcb\srob.jpg
- %TEMP%\vjcb\lwdxg.dat
- %TEMP%\vjcb\wrbwj.xl
- %TEMP%\vjcb\ccps.icm
- %TEMP%\vjcb\pdtgltqsq.pdf
- %TEMP%\vjcb\jshxbhmfj.xml
- %TEMP%\vjcb\aknw.xl
- %TEMP%\vjcb\qkdtsfoc.xls
- %TEMP%\vjcb\ijqagkaa.bmp
- %TEMP%\vjcb\mmsk.pdf
- %TEMP%\vjcb\pspfbpcdb.mp3
- %TEMP%\vjcb\hidw.ppt
- %TEMP%\vjcb\ojov.jpg
- %TEMP%\vjcb\eifl.xl
- %TEMP%\vjcb\fqmiwvpjpd.mp3
- %TEMP%\vjcb\vxjw.xl
- %TEMP%\vjcb\qfcccmc.dll
- %TEMP%\vjcb\sohkesmc.bin
- %TEMP%\vjcb\knfupfu.ini
- %TEMP%\vjcb\mmhj.bin
- %TEMP%\vjcb\ssqjbcn.bmp
- %TEMP%\vjcb\drcldneq.xls
- %TEMP%\vjcb\frgvfaec.xml
- %TEMP%\vjcb\hdcdb.xl
- %TEMP%\vjcb\tcwwte.bin
- %TEMP%\vjcb\pfrmq.exe
- %TEMP%\vjcb\mvih.xl
- %TEMP%\vjcb\lnwpkvfo.msc
- %TEMP%\vjcb\eukmjtvdth.ppt
- %TEMP%\vjcb\clknugte.icm
- %TEMP%\vjcb\ojxf.msc
- %TEMP%\vjcb\avohpnou.pdf
- %TEMP%\vjcb\tgujv.msc
- %TEMP%\vjcb\atqtakx.msc
- %TEMP%\vjcb\gtgddovbmo.msc
- %TEMP%\vjcb\thxhsmh.xml
- %TEMP%\vjcb\gjoxk.dll
- %TEMP%\vjcb\ebulcffjfn.icm
- %HOMEPATH%\temp\bjlilo.txt
Sets the 'hidden' attribute to the following files
- %TEMP%\vjcb\bdphlod.exe
Miscellaneous
Searches for the following windows
- ClassName: 'EDIT' WindowName: ''
Creates and executes the following
- '%TEMP%\vjcb\bdphlod.exe' whvlqpsu.mp3
Executes the following
- '%WINDIR%\syswow64\wscript.exe' xtsbd-tkxrhigebx.msc.vbe
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe'
