Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\ctfsmom.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei21202\antipublic - copy.exe.manifest
- %TEMP%\_mei21202\cryptography-2.9.2-py3.7.egg-info\installer
- %TEMP%\_mei21202\cryptography-2.9.2-py3.7.egg-info\license
- %TEMP%\_mei21202\cryptography-2.9.2-py3.7.egg-info\license.apache
- %TEMP%\_mei21202\cryptography-2.9.2-py3.7.egg-info\license.bsd
- %TEMP%\_mei21202\cryptography-2.9.2-py3.7.egg-info\license.psf
- %TEMP%\_mei21202\cryptography-2.9.2-py3.7.egg-info\metadata
- %TEMP%\_mei21202\cryptography-2.9.2-py3.7.egg-info\record
- %TEMP%\_mei21202\cryptography-2.9.2-py3.7.egg-info\wheel
- %TEMP%\_mei21202\cryptography-2.9.2-py3.7.egg-info\top_level.txt
- %TEMP%\_mei21202\license.lic
- %TEMP%\_mei21202\pytransform.key
- <Текущая директория>\run.cache
- %TEMP%\gpustats.bx
- %APPDATA%\ctfmom.exe
- %TEMP%\ee11cbb19052e40b07aac0ca060c23ee\xxzcgcb_errorslogs\screen.jpeg
- %TEMP%\ee11cbb19052e40b07aac0ca060c23ee\xxzcgcb_errorslogs\google-cookies
- %TEMP%\ee11cbb19052e40b07aac0ca060c23ee\xxzcgcb_errorslogs\google-local state
- %TEMP%\ee11cbb19052e40b07aac0ca060c23ee\xxzcgcb_errorslogs\opera-cookies
- %TEMP%\ee11cbb19052e40b07aac0ca060c23ee\xxzcgcb_errorslogs\opera-local state
- %TEMP%\_mei21202\cryptography-2.9.2-py3.7.egg-info\authors.rst
- %TEMP%\ee11cbb19052e40b07aac0ca060c23ee\xxzcgcb_errorslogs\xxzcgcb-errorslogs.txt
- %TEMP%\_mei21202\certifi\cacert.pem
- %TEMP%\_mei21202\include\pyconfig.h
- %TEMP%\_mei21202\vcruntime140.dll
- %TEMP%\_mei21202\_bz2.pyd
- %TEMP%\_mei21202\_cffi_backend.cp37-win_amd64.pyd
- %TEMP%\_mei21202\_ctypes.pyd
- %TEMP%\_mei21202\_decimal.pyd
- %TEMP%\_mei21202\_hashlib.pyd
- %TEMP%\_mei21202\_lzma.pyd
- %TEMP%\_mei21202\_pytransform.dll
- %TEMP%\_mei21202\_queue.pyd
- %TEMP%\_mei21202\_socket.pyd
- %TEMP%\_mei21202\_ssl.pyd
- %TEMP%\_mei21202\cryptography\hazmat\bindings\_constant_time.cp37-win_amd64.pyd
- %TEMP%\_mei21202\cryptography\hazmat\bindings\_openssl.cp37-win_amd64.pyd
- %TEMP%\_mei21202\libcrypto-1_1.dll
- %TEMP%\_mei21202\libssl-1_1.dll
- %TEMP%\_mei21202\pyexpat.pyd
- %TEMP%\_mei21202\python37.dll
- %TEMP%\_mei21202\select.pyd
- %TEMP%\_mei21202\unicodedata.pyd
- %TEMP%\_mei21202\base_library.zip
- %TEMP%\ee11cbb19052e40b07aac0ca060c23ee\xxzcgcb-errorslogs.logs
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\run.cache
Удаляет следующие файлы
- %TEMP%\ee11cbb19052e40b07aac0ca060c23ee\xxzcgcb_errorslogs\google-cookies
- %TEMP%\ee11cbb19052e40b07aac0ca060c23ee\xxzcgcb_errorslogs\google-local state
- %TEMP%\ee11cbb19052e40b07aac0ca060c23ee\xxzcgcb_errorslogs\opera-cookies
- %TEMP%\ee11cbb19052e40b07aac0ca060c23ee\xxzcgcb_errorslogs\opera-local state
- %TEMP%\ee11cbb19052e40b07aac0ca060c23ee\xxzcgcb_errorslogs\screen.jpeg
- %TEMP%\ee11cbb19052e40b07aac0ca060c23ee\xxzcgcb_errorslogs\xxzcgcb-errorslogs.txt
Сетевая активность
TCP
Запросы HTTP GET
- http://ip##pi.com/xml/
UDP
- DNS ASK kr#########kingkit.000webhostapp.com
- DNS ASK ip##pi.com
- DNS ASK ap#.##legram.org
Другое
Создает и запускает на исполнение
- '<Текущая директория>\run.cache'
- '%APPDATA%\ctfmom.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c title Anti-Public Checker
- '<SYSTEM32>\cmd.exe' /c cls
- '<SYSTEM32>\cmd.exe' /c run.cache
- '%WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe'
- '%WINDIR%\syswow64\netsh.exe' wlan show profiles
