Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\3660d91e-8f3b-4131-9001-7ed89b5fdbb51836219.exe
- %TEMP%\exxlg48wtnjtlc6yqxjf1
- %TEMP%\wfgvr1bo68xex2kmkmksgx
- %TEMP%\nphzcs3z6emql1n2ypugh53ea70vt
- %TEMP%\3dmz8abix5ns1o4ie4yzc02wzwkowy
- %TEMP%\pbn87cmygklsax4jbxkwjkeqwvd950t5uy3eul
Удаляет следующие файлы
- %TEMP%\exxlg48wtnjtlc6yqxjf1
- %TEMP%\wfgvr1bo68xex2kmkmksgx
- %TEMP%\nphzcs3z6emql1n2ypugh53ea70vt
- %TEMP%\3dmz8abix5ns1o4ie4yzc02wzwkowy
- %TEMP%\pbn87cmygklsax4jbxkwjkeqwvd950t5uy3eul
Подменяет следующие файлы
- %TEMP%\nphzcs3z6emql1n2ypugh53ea70vt
- %TEMP%\3dmz8abix5ns1o4ie4yzc02wzwkowy
- %TEMP%\pbn87cmygklsax4jbxkwjkeqwvd950t5uy3eul
Сетевая активность
Подключается к
- 'ge###un-24.com':80
- 'to####inefilm24.com':80
- 'ip###ger.org':443
TCP
Запросы HTTP POST
- http://ge###un-24.com/?na#######
- http://to####inefilm24.com/
Другие
- 'ip###ger.org':443
UDP
- DNS ASK ge###un-24.com
- DNS ASK to####inefilm24.com
- DNS ASK ip###ger.org
Другое
Создает и запускает на исполнение
- '%TEMP%\3660d91e-8f3b-4131-9001-7ed89b5fdbb51836219.exe'
- '%TEMP%\3660d91e-8f3b-4131-9001-7ed89b5fdbb51836219.exe' ' (со скрытым окном)
