Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\smartclock.lnk
- <SYSTEM32>\tasks\smart clock
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\at.exe'
Читает файлы, отвечающие за хранение паролей сторонними программами
- %APPDATA%\mozilla\firefox\profiles.ini
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\kqprapqf.txt
- %TEMP%\tnavwdbf\_files\_cookies\opera.txt
- %TEMP%\tnavwdbf\files_\cookies\opera.txt
- %TEMP%\tnavwdbf\_files\_screen_desktop.jpeg
- %TEMP%\tnavwdbf\_files\_information.txt
- %TEMP%\tnavwdbf\files_\screenshot.jpg
- %TEMP%\tnavwdbf\files_\system_info.txt
- %TEMP%\tnavwdbf\yiqigpftjihdv.zip
- %TEMP%\tnavwdbf\aorvwdelywfff.zip
- %TEMP%\krista.exe
- %TEMP%\nsc889.tmp\uac.dll
- %TEMP%\new feature\4.exe
- %TEMP%\new feature\vpn.exe
- %APPDATA%\smart clock\smartclock.exe
- %APPDATA%\ulmowgeadxtdxfbjkjw\abbozzo.vsd
- %APPDATA%\ulmowgeadxtdxfbjkjw\cammino.vsd
- %APPDATA%\ulmowgeadxtdxfbjkjw\riempiono.vsd
- %APPDATA%\ulmowgeadxtdxfbjkjw\via.vsd
- %TEMP%\tnavwdbf\bjej.tmp
- %APPDATA%\ulmowgeadxtdxfbjkjw\terribile.exe.com
- %TEMP%\tnavwdbf\exgpg.tmp
- %TEMP%\tnavwdbf\files_\cookies\google_chrome.txt
- %TEMP%\tnavwdbf\c5jmn.tmp
- %TEMP%\tnavwdbf\fehs8.tmp
- %TEMP%\tnavwdbf\c5jmn.tmp-shm
- %TEMP%\tnavwdbf\_files\_cookies\mozilla_firefox.txt
- %TEMP%\tnavwdbf\files_\cookies\mozilla_firefox.txt
- %TEMP%\tnavwdbf\_files\_allcookies_list.txt
- %TEMP%\tnavwdbf\files_\cookies.txt
- %TEMP%\tnavwdbf\gnehqtoh.tmp
- %TEMP%\tnavwdbf\apbkyeq.tmp
- %TEMP%\tnavwdbf\wacxfotp.tmp
- %TEMP%\tnavwdbf\divhtqzib.tmp
- %TEMP%\tnavwdbf\ywiei.tmp
- %TEMP%\tnavwdbf\ipikv.tmp
- %TEMP%\tnavwdbf\stwdkx.tmp
- %TEMP%\tnavwdbf\sswdjmyg.tmp
- %TEMP%\tnavwdbf\gpbrmvik.tmp
- %TEMP%\tnavwdbf\_files\_cookies\google_chrome.txt
- %TEMP%\tnavwdbf\hwlqtjy.tmp
- %APPDATA%\ulmowgeadxtdxfbjkjw\c
Удаляет следующие файлы
- %TEMP%\kqprapqf.txt
- %TEMP%\tnavwdbf\_files\_cookies\opera.txt
- %TEMP%\tnavwdbf\ywiei.tmp
- %TEMP%\tnavwdbf\wacxfotp.tmp
- %TEMP%\tnavwdbf\stwdkx.tmp
- %TEMP%\tnavwdbf\sswdjmyg.tmp
- %TEMP%\tnavwdbf\ipikv.tmp
- %TEMP%\tnavwdbf\hwlqtjy.tmp
- %TEMP%\tnavwdbf\gpbrmvik.tmp
- %APPDATA%\ulmowgeadxtdxfbjkjw\c
- %TEMP%\tnavwdbf\gnehqtoh.tmp
- %TEMP%\tnavwdbf\files_\cookies\opera.txt
- %TEMP%\tnavwdbf\fehs8.tmp
- %TEMP%\tnavwdbf\exgpg.tmp
- %TEMP%\tnavwdbf\c5jmn.tmp
- %TEMP%\tnavwdbf\bjej.tmp
- %TEMP%\tnavwdbf\apbkyeq.tmp
- %TEMP%\nsc889.tmp\uac.dll
- %TEMP%\tnavwdbf\c5jmn.tmp-shm
- %TEMP%\tnavwdbf\files_\cookies.txt
- %APPDATA%\ulmowgeadxtdxfbjkjw\abbozzo.vsd
Самоудаляется.
Сетевая активность
Подключается к
- 'dy##w22.top':80
- 'ma###e02.top':80
- 'es##c02.top':80
TCP
Запросы HTTP POST
- http://dy##w22.top/index.php
- http://ma###e02.top/index.php
UDP
- DNS ASK dy##w22.top
- DNS ASK ma###e02.top
- DNS ASK es##c02.top
Другое
Создает и запускает на исполнение
- '%TEMP%\krista.exe'
- '%TEMP%\new feature\4.exe'
- '%TEMP%\new feature\vpn.exe'
- '%APPDATA%\smart clock\smartclock.exe'
- '%APPDATA%\ulmowgeadxtdxfbjkjw\terribile.exe.com' C
- '%WINDIR%\syswow64\cmd.exe' /c rd /s /q %TEMP%\TnaVwdbf & timeout 3 & del /f /q "<Полный путь к файлу>"' (со скрытым окном)
- '%WINDIR%\syswow64\at.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c <SYSTEM32>\cmd.exe < Via.vsd' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c rd /s /q %TEMP%\TnaVwdbf & timeout 3 & del /f /q "<Полный путь к файлу>"
- '%WINDIR%\syswow64\timeout.exe' 3
- '%WINDIR%\syswow64\cmd.exe' /c <SYSTEM32>\cmd.exe < Via.vsd
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\findstr.exe' /V /R "^FGDdqnqcYltcSfOBOqcFMKgygiZLaxNQBRdlEShsmeMtECDYVCfsgKfUsneSmgrEvhTqYEXVNryJXlALD$" Riempiono.vsd
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 30
