Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tempdatabase2020-04-07t16_32_09.7388125-07_001919
- %TEMP%\tempdatabase2020-04-07t16_32_38.9888125-07_001919
- %TEMP%\tempdatabase2020-04-07t16_32_36.5981875-07_001414
- %TEMP%\tempdatabase2020-04-07t16_32_39.6450625-07_001414
- %TEMP%\tempdatabase2020-04-07t16_32_39.8013125-07_001414
- %TEMP%\tempdatabase2020-04-07t16_32_39.8638125-07_001414
- %TEMP%\tempdatabase2020-04-07t16_32_38.9731875-07_001818
- %TEMP%\tempdatabase2020-04-07t16_32_42.8794375-07_001818
- %TEMP%\tempdatabase2020-04-07t16_32_42.8950625-07_001818
- %TEMP%\tempdatabase2020-04-07t16_32_44.7544375-07_001818
- %TEMP%\tempdatabase2020-04-07t16_32_46.3481875-07_001717
- %TEMP%\tempdatabase2020-04-07t16_32_46.3638125-07_001717
Сетевая активность
TCP
Запросы HTTP GET
- http://45.###.254.31:2012/websocket via 45.##4.254.31
- http://ap#.#pify.org/
- http://hm.##atiftp.ru/MystUpdates.txt
UDP
- DNS ASK ap#.#pify.org
- DNS ASK hm.##atiftp.ru
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe'
