Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\firefox default browser agent 47c61e3d359a75ad
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\applaunch.exe
следующие пользовательские процессы:
- e4a4.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\jwgrciv
- %TEMP%\c5be.exe
- %TEMP%\e4a4.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\jwgrciv
Самоудаляется.
Сетевая активность
Подключается к
- 'fi#####in-host-12.com':80
- 'tr##sfer.sh':443
- 'wo#####ntertainment.com':443
- 'cd#.##scordapp.com':443
- '92.##.105.227':38134
- 'ch##pd.link':80
- '62.##3.112.190':80
- 'pr###ader.net':443
TCP
Запросы HTTP GET
- http://ch##pd.link/CALC1.exe
Запросы HTTP POST
- http://fi#####in-host-12.com/
Другие
- 'tr##sfer.sh':443
- 'wo#####ntertainment.com':443
- 'cd#.##scordapp.com':443
- '92.##.105.227':38134
- 'pr###ader.net':443
UDP
- DNS ASK ho#####ta-coin-11.com
- DNS ASK fi#####in-host-12.com
- DNS ASK tr##sfer.sh
- DNS ASK wo#####ntertainment.com
- DNS ASK cd#.##scordapp.com
- DNS ASK ch##pd.link
- DNS ASK pr###ader.net
Другое
Создает и запускает на исполнение
- '%TEMP%\c5be.exe'
- '%TEMP%\e4a4.exe'
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\applaunch.exe'
