Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- unc\localhost\c$\users\user\appdata\roaming\opera software\opera stable\login data
- unc\localhost\c$\users\user\appdata\local\google\chrome\user data\default\cookies
- unc\localhost\c$\users\user\appdata\local\google\chrome\user data\default\login data
- unc\localhost\c$\users\user\appdata\local\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\81968285-401a-4be3-8d91-cfdc0a21964e
- %APPDATA%\87148ead-369d-49a8-9e84-006b90672921
- %APPDATA%\8406ba1b-9e21-46a8-bd92-8a5faaa66d9d
- %APPDATA%\70da0aa5-b35a-4b5b-9c21-5e7d1d3a73ad
- %APPDATA%\dff658bc-cbfa-48cc-884d-b0d2c40a7c72
- %APPDATA%\cc72ce7a-d693-47a7-8d21-0b27a5b18c9d
- %APPDATA%\155234c5-1270-4674-9839-a29beeba39a3
- %APPDATA%\6ada5472-85a4-4ed1-a395-5bb0517297da
- %APPDATA%\ddc10540-64fd-47aa-ba20-7df5c71c6e8c
- %APPDATA%\5fd9c648-83bf-4e0c-a846-0a1e0e71e90c
- %APPDATA%\92b86eeb-9a0a-454b-9ecc-69047208cf52
- %APPDATA%\476c1021-5462-448f-a133-8dafa6955b27
Самоудаляется.
Сетевая активность
Подключается к
- '19#.#23.219.140':80
TCP
Запросы HTTP POST
- http://19#.#23.219.140/index.php
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c timeout 2 && del "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c timeout 2 && del "<Полный путь к файлу>"
- '%WINDIR%\syswow64\timeout.exe' 2
