Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7c787768-5c61-4103-a7d0-085f61bad7ae903098.exe
- %TEMP%\1ggtlyhxniolzh2zkfgbjsu
- %TEMP%\us6yuy8f5fzgcz61dsr96zc72ec4i
- %TEMP%\l7pyllr4czokaog5fkrfofqwzcawrno6qha9e
- %TEMP%\nzm77lcc2mzddfleohembcu
- %TEMP%\yyhp6rbxcsfd7mksrug8zej1q0i8ww
Удаляет следующие файлы
- %TEMP%\1ggtlyhxniolzh2zkfgbjsu
- %TEMP%\us6yuy8f5fzgcz61dsr96zc72ec4i
- %TEMP%\l7pyllr4czokaog5fkrfofqwzcawrno6qha9e
- %TEMP%\nzm77lcc2mzddfleohembcu
- %TEMP%\yyhp6rbxcsfd7mksrug8zej1q0i8ww
Подменяет следующие файлы
- %TEMP%\l7pyllr4czokaog5fkrfofqwzcawrno6qha9e
- %TEMP%\nzm77lcc2mzddfleohembcu
- %TEMP%\yyhp6rbxcsfd7mksrug8zej1q0i8ww
Сетевая активность
Подключается к
- 'ge###un-24.com':80
- 'to####inefilm24.com':80
- 'ip###ger.org':443
TCP
Запросы HTTP POST
- http://ge###un-24.com/?na#######
- http://to####inefilm24.com/
Другие
- 'ip###ger.org':443
UDP
- DNS ASK ge###un-24.com
- DNS ASK to####inefilm24.com
- DNS ASK ip###ger.org
Другое
Создает и запускает на исполнение
- '%TEMP%\7c787768-5c61-4103-a7d0-085f61bad7ae903098.exe'
- '%TEMP%\7c787768-5c61-4103-a7d0-085f61bad7ae903098.exe' ' (со скрытым окном)
