Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- unc\localhost\c$\users\user\appdata\roaming\opera software\opera stable\login data
- unc\localhost\c$\users\user\appdata\local\google\chrome\user data\default\cookies
- unc\localhost\c$\users\user\appdata\local\google\chrome\user data\default\login data
- unc\localhost\c$\users\user\appdata\local\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\8967ae8a-e839-4750-ad65-7477a8875b37
- %APPDATA%\b08b5bc8-5441-465d-9811-4673365149df
- %APPDATA%\7afef37e-d937-4720-b8ba-679bbf8922f9
- %APPDATA%\c952c671-0be5-4b91-8eee-66ff2f1c24d1
- %APPDATA%\ba6bcdf3-d5ac-4eac-b6bd-5e18ef41de2c
- %APPDATA%\4fe203f9-be9c-4af3-b3c5-417f21098440
- %APPDATA%\f65c286d-1f98-42f6-b9d4-96072002c3bb
- %APPDATA%\ff63f8c2-746f-460b-8c00-5b44a87b4898
- %APPDATA%\1b6a4007-b65a-40b5-8cdd-150b2795bfef
- %APPDATA%\92510465-6efc-4820-a25a-4a7c6cbdbe22
- %APPDATA%\5fc939e6-afaa-4bd4-b37b-9d3cd3386e5c
- %APPDATA%\42577ab4-b1b0-46a9-84cb-b285b94491c2
Самоудаляется.
Сетевая активность
Подключается к
- '19#.#23.220.33':80
TCP
Запросы HTTP POST
- http://19#.#23.220.33/index.php
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c timeout 2 && del "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c timeout 2 && del "<Полный путь к файлу>"
- '%WINDIR%\syswow64\timeout.exe' 2
