Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\evb2e29.tmp
- %TEMP%\evb3b29.tmp
- %TEMP%\amvuhmurs5s\steam\config.vdf
- %TEMP%\amvuhmurs5s\systeminfo.txt
- %TEMP%\amvuhmurs5s\screen.jpg
- %TEMP%\2mv4axjw.sas
- %TEMP%\kqquhck1.r0r
- %TEMP%\zd1p3z3z.euk
- %TEMP%\evb3b2a.tmp
- %TEMP%\4qpi4pjt.tq0
- %TEMP%\n2im0j1m.yos
- %TEMP%\fjqmkpsb.ofj
- %TEMP%\evb3490.tmp
- %TEMP%\1dkaqz2v.ioz
- %TEMP%\evb3386.tmp
- %TEMP%\evb3375.tmp
- %TEMP%\evb2e39.tmp
- %TEMP%\bwhvfye5.gox
- %TEMP%\95.211.190.199.netherlands.amsterdam
Удаляет следующие файлы
- %TEMP%\amvuhmurs5s\screen.jpg
- %TEMP%\amvuhmurs5s\steam\config.vdf
- %TEMP%\amvuhmurs5s\systeminfo.txt
- %TEMP%\95.211.190.199.netherlands.amsterdam
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://ap#.#pify.org/
- http://ip##pi.com/line/95.211.190.199?fi############
- http://ip##pi.com/line/95.211.190.199?fi#########
UDP
- DNS ASK ap#.#pify.org
- DNS ASK ip##pi.com
- DNS ASK yt##ill.tk
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C timeout /T 5 & choice /C Y /N /D Y /T 3 & Del "<Полный путь к файлу>" & Del "<Текущая директория>\SQLite.Interop*" & Del "<Текущая директория>\System.Data.SQLite*" & Del "<Текущая директория...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C timeout /T 5 & choice /C Y /N /D Y /T 3 & Del "<Полный путь к файлу>" & Del "<Текущая директория>\SQLite.Interop*" & Del "<Текущая директория>\System.Data.SQLite*" & Del "<Текущая директория...
- '%WINDIR%\syswow64\timeout.exe' /T 5
- '%WINDIR%\syswow64\choice.exe' /C Y /N /D Y /T 3
