Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\<Имя файла>.vbs
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\<Имя файла>.exe
- %TEMP%\tmp5d9.tmp.dat
- %TEMP%\tmp609.tmp.dat
- %TEMP%\tmp61a.tmp.dat
- %TEMP%\tmp62a.tmp.dat
- %TEMP%\tmp64b.tmp.dat
- %TEMP%\tmp65b.tmp.dat
- %TEMP%\tmp65c.tmp.dat
- %TEMP%\tmp6ca.tmp.dat
- %TEMP%\tmp6eb.tmp.tmpdb
- %TEMP%\tmp778.tmp.tmpdb
- C:\users\public\gn7ryp3k.default\key3.db
- %TEMP%\tmp8a1.tmp.tmpdb
- %TEMP%\tmp8d1.tmp.tmpdb
- C:\users\public\wjj9aet2.default\key3.db
Удаляет следующие файлы
- %TEMP%\tmp5d9.tmp.dat
- %TEMP%\tmp609.tmp.dat
- %TEMP%\tmp61a.tmp.dat
- %TEMP%\tmp62a.tmp.dat
- %TEMP%\tmp64b.tmp.dat
- %TEMP%\tmp65b.tmp.dat
- %TEMP%\tmp65c.tmp.dat
- %TEMP%\tmp6ca.tmp.dat
- %TEMP%\tmp6eb.tmp.tmpdb
- %TEMP%\tmp778.tmp.tmpdb
- %TEMP%\tmp8a1.tmp.tmpdb
- %TEMP%\tmp8d1.tmp.tmpdb
Сетевая активность
Подключается к
- 'da######ess.crabdance.com':7065
TCP
Другие
- 'da######ess.crabdance.com':7065
UDP
- DNS ASK da######ess.crabdance.com
