Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\applaunch.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
- %HOMEPATH%\desktop\february_catalogue__2015.doc
- %HOMEPATH%\desktop\nwfieldnotes1966.docx
- %HOMEPATH%\desktop\weeklysheet1215.doc
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\yu.exe
- %APPDATA%\mainmodule.exe
Удаляет следующие файлы
- %APPDATA%\yu.exe
Сетевая активность
Подключается к
- '19#.#06.191.160':8673
- 'cd#.##scordapp.com':443
TCP
Другие
- '19#.#06.191.160':8673
- 'cd#.##scordapp.com':443
UDP
- DNS ASK cd#.##scordapp.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\yu.exe'
- '%APPDATA%\mainmodule.exe'
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\applaunch.exe'
- '<SYSTEM32>\cmd.exe' /C choice /C Y /N /D Y /T 0 &Del %APPDATA%\yu.exe
- '<SYSTEM32>\choice.exe' /C Y /N /D Y /T 0
