Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\clipper
Вредоносные функции
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\Martin Prikryl\WinSCP 2\Sessions]
- [<HKCU>\Software\FTPWare\CoreFTP\Sites]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %ProgramFiles(x86)%\steam\config\config.vdf
- %ProgramFiles(x86)%\steam\config\dialogconfig.vdf
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\stealer.exe
- %TEMP%\tor\tor-gencert.exe
- %TEMP%\tor\tor.exe
- %TEMP%\tor\libwinpthread-1.dll
- %TEMP%\tor\libssp-0.dll
- %TEMP%\tor\libssl-1_1.dll
- %TEMP%\tor\libgcc_s_sjlj-1.dll
- %TEMP%\tor\libevent-2-1-7.dll
- %TEMP%\tor\libevent_extra-2-1-7.dll
- %TEMP%\tor\libevent_core-2-1-7.dll
- %TEMP%\tmp97ee.tmp
- %TEMP%\tmp9732.tmp
- %TEMP%\tmp9702.tmp
- %TEMP%\tmp91f2.tmp
- %LOCALAPPDATA%\microsoft\vault\4bf4c442-9b8a-41a0-b380-dd4a704ddb28\policy.vpol
- %ALLUSERSPROFILE%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\2f1a6504-0641-44cf-8bb5-3612d865f2e5.vsch
- %ALLUSERSPROFILE%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\3ccd5499-87a8-4b10-a215-608888dd3b55.vsch
- %ALLUSERSPROFILE%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\policy.vpol
- %LOCALAPPDATA%\servicehub\clipper.exe
- %APPDATA%\clipper.exe
- %TEMP%\tor\zlib1.dll
- %TEMP%\tor\libcrypto-1_1.dll
Удаляет следующие файлы
- %APPDATA%\clipper.exe
- %TEMP%\tmp91f2.tmp
- %TEMP%\tmp9702.tmp
- %TEMP%\tmp9732.tmp
- %TEMP%\tmp97ee.tmp
Сетевая активность
Подключается к
- 'ip##pi.com':80
- 'rl################jo577eqgjsjvcjfsw4i23fqvf2y27ylylhmhad.onion.pet':80
- 't.#e':443
- 'gi##ub.com':443
- 'ra#.####ubusercontent.com':443
TCP
Запросы HTTP GET
- http://ip##pi.com/json
- http://ip##pi.com/line?fi#######################
Запросы HTTP POST
- http://rl################jo577eqgjsjvcjfsw4i23fqvf2y27ylylhmhad.onion.pet/clp/46e848667d0941db95b3d2e5de55b242?in################################################################################...
Другие
- 't.#e':443
- 'gi##ub.com':443
- 'ra#.####ubusercontent.com':443
UDP
- DNS ASK ip##pi.com
- DNS ASK rl################jo577eqgjsjvcjfsw4i23fqvf2y27ylylhmhad.onion.pet
- DNS ASK t.#e
- DNS ASK gi##ub.com
- DNS ASK ra#.####ubusercontent.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\stealer.exe'
- '%APPDATA%\clipper.exe'
- '%LOCALAPPDATA%\servicehub\clipper.exe'
- '%TEMP%\tor\tor.exe'
- '%WINDIR%\syswow64\cmd.exe' /C chcp 65001 && ping 127.0.0.1 && schtasks /create /tn "Clipper" /sc MINUTE /tr "%LOCALAPPDATA%\ServiceHub\Clipper.exe" /rl HIGHEST /f && DEL /F /S /Q /A "%APPDATA%\Clipper.exe" &&START "" "%L...' (со скрытым окном)
- '%LOCALAPPDATA%\servicehub\clipper.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C chcp 65001 && ping 127.0.0.1 && schtasks /create /tn "Clipper" /sc MINUTE /tr "%LOCALAPPDATA%\ServiceHub\Clipper.exe" /rl HIGHEST /f && DEL /F /S /Q /A "%APPDATA%\Clipper.exe" &&START "" "%L...
- '%WINDIR%\syswow64\chcp.com' 65001
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "Clipper" /sc MINUTE /tr "%LOCALAPPDATA%\ServiceHub\Clipper.exe" /rl HIGHEST /f
- '<SYSTEM32>\taskeng.exe' {19B3BA69-AEB9-454A-9F58-7F83BB1F7B17} S-1-5-21-1960123792-2022915161-3775307078-1001:hmffwvpsmc\user:Interactive:[1]
- '<SYSTEM32>\cmd.exe' /C chcp 65001 && netsh wlan show profile | findstr All
- '<SYSTEM32>\chcp.com' 65001
- '<SYSTEM32>\netsh.exe' wlan show profile
- '<SYSTEM32>\findstr.exe' All
