Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\601731.exe
- %TEMP%\mm1xrs56g9wecfbadx6pjakocwhnosyh65i0
- %TEMP%\kica4nztdzwafuaconcmovweebuezf
- %TEMP%\85wsonwilmsuhwgzrcxwb5jlwjo0mvjix2rw
- C:\users\public\gn7ryp3k.default\key3.db
- %TEMP%\svl5edjs1vv6w5pq0s7ywc
- %TEMP%\a16jo5debmthmm7zlqcyklaqp3dmqgx4yjf1krk
Удаляет следующие файлы
- %TEMP%\mm1xrs56g9wecfbadx6pjakocwhnosyh65i0
- %TEMP%\kica4nztdzwafuaconcmovweebuezf
- %TEMP%\85wsonwilmsuhwgzrcxwb5jlwjo0mvjix2rw
- %TEMP%\svl5edjs1vv6w5pq0s7ywc
- %TEMP%\a16jo5debmthmm7zlqcyklaqp3dmqgx4yjf1krk
Подменяет следующие файлы
- %TEMP%\85wsonwilmsuhwgzrcxwb5jlwjo0mvjix2rw
- %TEMP%\a16jo5debmthmm7zlqcyklaqp3dmqgx4yjf1krk
Сетевая активность
Подключается к
- 'bu####estment24.com':80
- 'mi####ulz-pop.lol':80
- 'ip###ger.org':443
TCP
Запросы HTTP POST
- http://bu####estment24.com/?u=####
- http://mi####ulz-pop.lol/
Другие
- 'ip###ger.org':443
UDP
- DNS ASK bu####estment24.com
- DNS ASK mi####ulz-pop.lol
- DNS ASK ip###ger.org
Другое
Создает и запускает на исполнение
- '%APPDATA%\601731.exe'
- '%APPDATA%\601731.exe' ' (со скрытым окном)
