Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\Chistilka] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\Chistilka] 'ImagePath' = '"%PROGRAMDATA%\Чистилка\Чистилка.exe" /service'
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- <LS_APPDATA>\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %PROGRAMDATA%\чистилка\logs\tkiller-2-2019-07-19-03-03-50.log
- %TEMP%\cln63ed.tmp
- %WINDIR%\fonts\pns.ttf
- %PROGRAMDATA%\чистилка\чистилка.exe
- %PROGRAMDATA%\чистилка\logs\tkiller-2-2019-07-19-03-04-36.log
- C:\users\public\desktop\чистилка.lnk
- %PROGRAMDATA%\microsoft\windows\start menu\programs\чистилка\чистилка.lnk
- %PROGRAMDATA%\microsoft\windows\start menu\programs\чистилка\чистилка uninstall.lnk
- %PROGRAMDATA%\чистилка\settings.json
- <Текущая директория>\sciter.dll
Сетевая активность
Подключается к
- '14#.#2.35.84':80
UDP
- DNS ASK ch###ilka.com
- DNS ASK time.google.com
- DNS ASK ap#.##plitude.com
- DNS ASK go#####analytics.com
- DNS ASK ch###ilka.ru
- DNS ASK st###.chistilka.com
- DNS ASK pa#.##istilka.com
- DNS ASK up####.chistilka.com
- DNS ASK of###gate.pro
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%PROGRAMDATA%\чистилка\чистилка.exe' /srvcreate
- '%PROGRAMDATA%\чистилка\чистилка.exe' /srvcreate' (со скрытым окном)
