Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль mswsock.dll
- Процесс firefox.exe, модуль nss3.dll
- Процесс iexplore.exe, модуль wininet.dll
- Процесс iexplore.exe, модуль mswsock.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\getx64btit.exe
- %TEMP%\x64btit.txt
Удаляет следующие файлы
- %TEMP%\x64btit.txt
- %TEMP%\getx64btit.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://17#.#5.193.9/tor/status-vote/current/consensus
- http://19#.#87.249.116/tor/server/fp/92ea866c80c8828658a0f427bdb74f1d9a2e600c
- http://45.##.121.222/tor/server/fp/f5db8e33f8d351b600932251efe67357485405f2
- http://54.#7.73.76/tor/server/fp/fe268e95288ee3ef58da606dab12ab216cf64b68
- http://23.##9.64.186/tor/server/fp/4b170476d09459328438f3e68ed19516c9f75a80
- http://83.##2.72.189/tor/server/fp/7335a5a83067ae1bdb073f2e00a3e3982fffe23d
- http://87.##0.36.212/tor/server/fp/5665a3904c89e22e971305ee8c1997bca4123c69
UDP
- DNS ASK ap#.#pify.org
- DNS ASK ti###a.nist.gov
Другое
Создает и запускает на исполнение
- '%TEMP%\getx64btit.exe'
