Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\cukytuhpz4lnbcd9wdxaebad
- %TEMP%\urdl7lezb3n7ceq2em8lqjz8jumtqb4
- %TEMP%\mp1yuhabockp6glgn7pho3ps1a
- %TEMP%\wk3nnklcmdrvwo5kzuvtohpv
- %TEMP%\1sya6mhdvhshnfkadyatn
Удаляет следующие файлы
- %TEMP%\cukytuhpz4lnbcd9wdxaebad
- %TEMP%\urdl7lezb3n7ceq2em8lqjz8jumtqb4
- %TEMP%\mp1yuhabockp6glgn7pho3ps1a
- %TEMP%\wk3nnklcmdrvwo5kzuvtohpv
- %TEMP%\1sya6mhdvhshnfkadyatn
Подменяет следующие файлы
- %TEMP%\mp1yuhabockp6glgn7pho3ps1a
- %TEMP%\wk3nnklcmdrvwo5kzuvtohpv
- %TEMP%\1sya6mhdvhshnfkadyatn
Сетевая активность
Подключается к
- 'ke####m-getnow.xyz':80
- 'ip###ger.org':443
TCP
Запросы HTTP POST
- http://ke####m-getnow.xyz/
Другие
- 'ip###ger.org':443
UDP
- DNS ASK ke####m-getnow.xyz
- DNS ASK ip###ger.org
