Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\aoc_saq_d_v3_merchant.docx
- %HOMEPATH%\desktop\archer.avi
- %HOMEPATH%\desktop\dashborder_144.bmp
- %HOMEPATH%\desktop\default.bmp
- %HOMEPATH%\desktop\delete.avi
- %HOMEPATH%\desktop\february_catalogue__2015.doc
- %HOMEPATH%\desktop\garden.htm
- %HOMEPATH%\desktop\hanni_umami_chapter.doc
- %HOMEPATH%\desktop\iisstart.html
- %HOMEPATH%\desktop\thlps_keeper_mayer_1965.docx
- %HOMEPATH%\desktop\toolbar.bmp
- %HOMEPATH%\desktop\trivial-merge.html
- %HOMEPATH%\desktop\weeklysheet1215.doc
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\desktop\hermes decrypt files.txt
Изменяет следующие файлы
- %HOMEPATH%\desktop\aoc_saq_d_v3_merchant.docx
- %HOMEPATH%\desktop\archer.avi
- %HOMEPATH%\desktop\dashborder_144.bmp
- %HOMEPATH%\desktop\default.bmp
- %HOMEPATH%\desktop\delete.avi
- %HOMEPATH%\desktop\february_catalogue__2015.doc
- %HOMEPATH%\desktop\icq.lnk
- %HOMEPATH%\desktop\mail.ru agent.lnk
- %HOMEPATH%\desktop\qip 2012.lnk
- %HOMEPATH%\desktop\telegram.lnk
- %HOMEPATH%\desktop\total commander 64 bit.lnk
- %HOMEPATH%\links\desktop.lnk
- %HOMEPATH%\links\downloads.lnk
- %HOMEPATH%\links\recentplaces.lnk
- %HOMEPATH%\contacts\user.contact
Самоперемещается
- из <Полный путь к файлу> в C:\user\rand123\local.exe
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Изменяет расширения файлов пользовательских данных (Trojan.Encoder).
Сетевая активность
Подключается к
- 'google.com':443
- 'hi########hide.000webhostapp.com':443
TCP
- 'google.com':443
- 'hi########hide.000webhostapp.com':443
UDP
- DNS ASK google.com
- DNS ASK hi########hide.000webhostapp.com
