Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- addinprocess32.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %ProgramFiles(x86)%\steam\config\config.vdf
- %ProgramFiles(x86)%\steam\config\dialogconfig.vdf
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\addinprocess32.exe
- %TEMP%\ttdwyhijj.dfy
- %TEMP%\bhyn.biiedee
- %TEMP%\tpwepyncxwyhtuv.qnixdnmdqyqxhyul
- %TEMP%\cruelhcffgwidst.whtcwyfntwkcpkjy
- %TEMP%\vmvwncw.sq
Удаляет следующие файлы
- %TEMP%\ttdwyhijj.dfy
- %TEMP%\bhyn.biiedee
- %TEMP%\tpwepyncxwyhtuv.qnixdnmdqyqxhyul
- %TEMP%\cruelhcffgwidst.whtcwyfntwkcpkjy
- %TEMP%\vmvwncw.sq
Подменяет следующие файлы
- %TEMP%\bhyn.biiedee
- %TEMP%\tpwepyncxwyhtuv.qnixdnmdqyqxhyul
- %TEMP%\cruelhcffgwidst.whtcwyfntwkcpkjy
Сетевая активность
Подключается к
- 'google.com':443
- '94.##3.84.193':2222
TCP
- 'google.com':443
- '94.##3.84.193':2222
UDP
- DNS ASK google.com
Другое
Создает и запускает на исполнение
- '%TEMP%\addinprocess32.exe'
