Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %APPDATA%\opera software\opera stable\login data
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tmpb173.tmp.dat
- C:\users\public\gn7ryp3k.default\key3.db
- %TEMP%\tmpb23d.tmp.tmpdb
- %TEMP%\tmpb22c.tmp.dat
- %TEMP%\tmpb21b.tmp.dat
- %TEMP%\tmpb21a.tmp.dat
- %TEMP%\tmpb20a.tmp.dat
- %TEMP%\tmpb209.tmp.dat
- %TEMP%\tmpb1f8.tmp.dat
- %TEMP%\tmpb1e8.tmp.dat
- %TEMP%\tmpb1c7.tmp.dat
- %TEMP%\tmpb1c6.tmp.dat
- %TEMP%\tmpb1b6.tmp.dat
- %TEMP%\tmpb1b5.tmp.dat
- %TEMP%\tmpb1a4.tmp.dat
- %TEMP%\tmpb1a3.tmp.dat
- %TEMP%\tmpb25d.tmp.tmpdb
- C:\users\public\wjj9aet2.default\key3.db
Удаляет следующие файлы
- %TEMP%\tmpb173.tmp.dat
- %TEMP%\tmpb1a3.tmp.dat
- %TEMP%\tmpb1a4.tmp.dat
- %TEMP%\tmpb1b5.tmp.dat
- %TEMP%\tmpb1b6.tmp.dat
- %TEMP%\tmpb1c6.tmp.dat
- %TEMP%\tmpb1c7.tmp.dat
- %TEMP%\tmpb1e8.tmp.dat
- %TEMP%\tmpb1f8.tmp.dat
- %TEMP%\tmpb209.tmp.dat
- %TEMP%\tmpb20a.tmp.dat
- %TEMP%\tmpb21a.tmp.dat
- %TEMP%\tmpb21b.tmp.dat
- %TEMP%\tmpb22c.tmp.dat
- %TEMP%\tmpb23d.tmp.tmpdb
- %TEMP%\tmpb25d.tmp.tmpdb
Сетевая активность
Подключается к
- 'a0####79.xsph.ru':80
TCP
Запросы HTTP GET
- http://a0####79.xsph.ru/Chaincomponent.exe
- http://a0####79.xsph.ru/MicrosoftApi.exe
UDP
- DNS ASK a0####79.xsph.ru
- DNS ASK vm#####51.43ssd.had.wf
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe'
