Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\1189.jpeg
- %HOMEPATH%\desktop\sdszfo.docx
- %HOMEPATH%\desktop\lisp_success.doc
- %HOMEPATH%\desktop\iisstart.html
- %HOMEPATH%\desktop\fi51.doc
- %HOMEPATH%\desktop\dashborder_96.bmp
- %HOMEPATH%\desktop\dashborder_144.bmp
- %HOMEPATH%\desktop\trivial-merge.htm
- %HOMEPATH%\desktop\dashborder_120.bmp
- %HOMEPATH%\desktop\applicantform_en.doc
- %HOMEPATH%\desktop\alert.htm
- %HOMEPATH%\desktop\adadsi.html
- %HOMEPATH%\desktop\about.html
- %HOMEPATH%\desktop\210252809.jpeg
- %HOMEPATH%\desktop\13.jpeg
- %HOMEPATH%\desktop\correct.avi
- %HOMEPATH%\desktop\weeklysheet1215.doc
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\desktop\1189.jpeg.cl5o2
- %HOMEPATH%\desktop\13.jpeg.cl5o2
- %HOMEPATH%\desktop\210252809.jpeg.cl5o2
- %HOMEPATH%\desktop\about.html.cl5o2
- %HOMEPATH%\desktop\adadsi.html.cl5o2
- %HOMEPATH%\desktop\alert.htm.cl5o2
- %HOMEPATH%\desktop\applicantform_en.doc.cl5o2
- %HOMEPATH%\desktop\@read_me@.txt
Изменяет расширения файлов пользовательских данных (Trojan.Encoder).
Сетевая активность
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
UDP
- DNS ASK cd#.##scordapp.com
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c certutil.exe -urlcache -f https://cdn.discordapp.com/attachments/774984872938569728/774993897238560778/mywalpaper.bmp wal.bmp' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c certutil.exe -urlcache -f https://cdn.discordapp.com/attachments/774984872938569728/774993897238560778/mywalpaper.bmp wal.bmp
- '<SYSTEM32>\certutil.exe' -urlcache -f https://cdn.discordapp.com/attachments/774984872938569728/774993897238560778/mywalpaper.bmp wal.bmp
