Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\shftool\stimp.exe
Сетевая активность
Подключается к
- 'ip###ger.org':443
- 'df#####jmnyhtbgrvfd.top':80
- '18#.#15.113.70':21508
TCP
Запросы HTTP GET
- http://df#####jmnyhtbgrvfd.top/strong/top.exe
Другие
- 'ip###ger.org':443
- '18#.#15.113.70':21508
UDP
- DNS ASK ip###ger.org
- DNS ASK df#####jmnyhtbgrvfd.top
Другое
Ищет следующие окна
- ClassName: 'AutoHotkey' WindowName: '<Полный путь к файлу>'
Создает и запускает на исполнение
- '%APPDATA%\shftool\stimp.exe'
- '%WINDIR%\syswow64\cmd.exe' /c timeout 20' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c timeout 20
- '%WINDIR%\syswow64\timeout.exe' 20
- '%WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe'
