Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\b6399db0-3d13-4d50-841d-9087834e9d82458471.exe
- %TEMP%\dpaha26jilqtzsqv10utab7dw6ku
- %TEMP%\5pqg2iacmgwqjkywyyuq
- %TEMP%\nd3u5csotffzrbq6pfyb2awtcevdxax40jtfna
- %TEMP%\oobzvb9lidl2qtfna1luntshx
- %TEMP%\jxbuxoqkwmd2xkfiyj5gxcvmfng16day
Удаляет следующие файлы
- %TEMP%\dpaha26jilqtzsqv10utab7dw6ku
- %TEMP%\5pqg2iacmgwqjkywyyuq
- %TEMP%\nd3u5csotffzrbq6pfyb2awtcevdxax40jtfna
- %TEMP%\oobzvb9lidl2qtfna1luntshx
- %TEMP%\jxbuxoqkwmd2xkfiyj5gxcvmfng16day
Подменяет следующие файлы
- %TEMP%\nd3u5csotffzrbq6pfyb2awtcevdxax40jtfna
- %TEMP%\oobzvb9lidl2qtfna1luntshx
Сетевая активность
Подключается к
- 'fa####n-academy.net':80
- 'bu######musicsolutions.com':80
TCP
Запросы HTTP POST
- http://fa####n-academy.net/?na#######
- http://bu######musicsolutions.com/
UDP
- DNS ASK fa####n-academy.net
- DNS ASK bu######musicsolutions.com
Другое
Создает и запускает на исполнение
- '%TEMP%\b6399db0-3d13-4d50-841d-9087834e9d82458471.exe'
- '%TEMP%\b6399db0-3d13-4d50-841d-9087834e9d82458471.exe' ' (со скрытым окном)
