Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- unc\localhost\c$\users\user\appdata\roaming\opera software\opera stable\login data
- unc\localhost\c$\users\user\appdata\local\google\chrome\user data\default\cookies
- unc\localhost\c$\users\user\appdata\local\google\chrome\user data\default\login data
- unc\localhost\c$\users\user\appdata\local\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\101e3151-ea16-47e0-8e0a-b9915fe2b726
- %APPDATA%\52a02c47-3d2d-4313-9818-f87c102abfff
- %APPDATA%\2c6db26f-5a97-4d35-9b18-5247fd8bfc05
- %APPDATA%\24298954-cecf-4f64-87bb-3a19e766d45e
- %APPDATA%\c8cf6b65-5356-4e8e-835e-310d456d59c1
- %APPDATA%\f2cde67d-a00c-4a7a-b9a8-33d8377e6e25
- %APPDATA%\469cb47b-8292-416b-a806-e340559418a1
- %APPDATA%\838e17c5-dfaf-4f48-ac9d-9033f8f5228d
- %APPDATA%\20e52e0c-6fcd-4aa7-aaf2-2f82adc1efe8
- %APPDATA%\1fad34cc-1e48-4bd3-a77d-063d70bac983
- %APPDATA%\267bb177-8031-41ca-acd0-8cbf69db558a
- %APPDATA%\c3aab399-56b8-4427-bc98-38ce59c51325
Самоудаляется.
Сетевая активность
Подключается к
- '19#.#23.219.41':80
TCP
Запросы HTTP POST
- http://19#.#23.219.41/index.php
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c timeout 2 && del "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c timeout 2 && del "<Полный путь к файлу>"
- '%WINDIR%\syswow64\timeout.exe' 2
