Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %APPDATA%\mozilla\firefox\profiles.ini
- %APPDATA%\thunderbird\profiles.ini
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\prefix001952395
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /Q /C netsh wlan show profiles' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' /Q /C -encodedCommand WwB2AG8AaQBkAF0AWwBXAGkAbgBkAG8AdwBzAC4AUwBlAGMAdQByAGkAdAB5AC4AQwByAGUAZABlAG4AdABpAGEAbABzAC4AUABhAHMAcwB3AG8AcgBkAFYAYQB1AGwAdAAsAFcAaQBuAGQAbwB3AHMALgBTAGUAYwB1AHIAaQB...' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /Q /C powershell reg query HKCU\Software\SimonTatham\Putty\Sessions' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /Q /C netsh wlan show profiles
- '%WINDIR%\syswow64\netsh.exe' wlan show profiles
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' /Q /C -encodedCommand WwB2AG8AaQBkAF0AWwBXAGkAbgBkAG8AdwBzAC4AUwBlAGMAdQByAGkAdAB5AC4AQwByAGUAZABlAG4AdABpAGEAbABzAC4AUABhAHMAcwB3AG8AcgBkAFYAYQB1AGwAdAAsAFcAaQBuAGQAbwB3AHMALgBTAGUAYwB1AHIAaQB...
- '%WINDIR%\syswow64\cmd.exe' /Q /C powershell reg query HKCU\Software\SimonTatham\Putty\Sessions
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' reg query HKCU\Software\SimonTatham\Putty\Sessions
- '%WINDIR%\syswow64\reg.exe' query HKCU\Software\SimonTatham\Putty\Sessions
