Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
- Процесс firefox.exe, модуль mswsock.dll
- Процесс iexplore.exe, модуль wininet.dll
- Процесс iexplore.exe, модуль mswsock.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\getx64btit.exe
- %TEMP%\x64btit.txt
Удаляет следующие файлы
- %TEMP%\x64btit.txt
- %TEMP%\getx64btit.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://13#.#88.40.189/tor/status-vote/current/consensus
- http://15#.#5.175.225/tor/status-vote/current/consensus
- http://18#.#65.169.222/tor/server/fp/c8afc02ce1b72d7e0046c10a9c4c30d29bd8ba32
- http://51.##.82.225/tor/server/fp/4eee44ae922b30d0eda06aba1bd924cb43e8083e
- http://27.##2.59.86/tor/server/fp/a14993020cc672ae519b1f1c9679ce0982c9733f
- http://91.##9.29.76/tor/server/fp/06d77e461c9814243da2c6145544d5bb3b46b52e
- http://91.##9.29.97/tor/server/fp/f6740deabfd5f62612fa025a5079ea72846b1f67
- http://19#.#2.116.17/tor/server/fp/a6365a78a592dca0726e4a86792324f04891a948
UDP
- DNS ASK ap#.#pify.org
- DNS ASK ti###a.nist.gov
Другое
Создает и запускает на исполнение
- '%TEMP%\getx64btit.exe'
