Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\9d5ccd24-3c7a-4eb3-a9f8-f727dedfe73a3414504.exe
- %TEMP%\moy3xnofyvui05czwhjivq9e0ls
- %TEMP%\nxvuqgnkkgdrkdmosdesu2rlyq
- %TEMP%\zvfireqt6tnvrladhz29oyt4
- %TEMP%\ato9rhgd31bxcd8gsbjnwunf47dlqf6oecogzf
- %TEMP%\pocxa8crm4ygpkxi5vtniffji162yx3amad
Удаляет следующие файлы
- %TEMP%\moy3xnofyvui05czwhjivq9e0ls
- %TEMP%\nxvuqgnkkgdrkdmosdesu2rlyq
- %TEMP%\zvfireqt6tnvrladhz29oyt4
- %TEMP%\ato9rhgd31bxcd8gsbjnwunf47dlqf6oecogzf
- %TEMP%\pocxa8crm4ygpkxi5vtniffji162yx3amad
Подменяет следующие файлы
- %TEMP%\zvfireqt6tnvrladhz29oyt4
- %TEMP%\ato9rhgd31bxcd8gsbjnwunf47dlqf6oecogzf
Сетевая активность
Подключается к
- 'on####ort-24.com':80
- 'gl####noshcafe.com':80
- 'ip###ger.org':443
TCP
Запросы HTTP POST
- http://on####ort-24.com/?na#######
- http://gl####noshcafe.com/
Другие
- 'ip###ger.org':443
UDP
- DNS ASK on####ort-24.com
- DNS ASK gl####noshcafe.com
- DNS ASK ip###ger.org
Другое
Создает и запускает на исполнение
- '%TEMP%\9d5ccd24-3c7a-4eb3-a9f8-f727dedfe73a3414504.exe'
- '%TEMP%\9d5ccd24-3c7a-4eb3-a9f8-f727dedfe73a3414504.exe' ' (со скрытым окном)
