Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\calc.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%low\fxnjihagazmg.ksz
- %PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\policy.vpol
- %PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\3ccd5499-87a8-4b10-a215-608888dd3b55.vsch
- %PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\2f1a6504-0641-44cf-8bb5-3612d865f2e5.vsch
- %LOCALAPPDATA%\microsoft\vault\4bf4c442-9b8a-41a0-b380-dd4a704ddb28\policy.vpol
Удаляет следующие файлы
- %LOCALAPPDATA%low\fxnjihagazmg.ksz
Подменяет следующие файлы
- %LOCALAPPDATA%low\fxnjihagazmg.ksz
Сетевая активность
TCP
Запросы HTTP GET
- http://17#.#5.193.9/tor/status-vote/current/consensus
- http://18#.#6.88.164/tor/server/fp/5f6ee570b3a36417851ed2c5e41ff37fd458d91e
- http://10#.#44.72.33/tor/server/fp/5974b3f4c66d83bbc9622e0f0f023fe48428db9b
- http://89.##7.143.31/tor/server/fp/bb8c47203a83ba083f60ed03dd9904526236d366
- http://45.##.235.25/tor/server/fp/bb9c5d15bc3b77c8af5cbc733f7e54553a1b7bd5
- http://15#.#45.173.41/tor/server/fp/bbad321d682c6ada699cd083269cfb5fb71cdee0
- http://80.##7.137.19/tor/server/fp/20386d9a32becbe602375e015fc70117955653f1
- http://80.##1.60.207/tor/server/fp/204dfb522c669764d1db880acf2cb16aa8cc9881
- http://10#.#44.73.126/tor/server/fp/204dfd2a2c6a0dc1fa0eacb495218e0b661704fd
UDP
- DNS ASK ip##pi.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\calc.exe'
