Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %APPDATA%\opera software\opera stable\login data
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tmpc6f6.tmp.tmpdb
- %LOCALAPPDATA%\44\screen.png
- %LOCALAPPDATA%\44\browsers\opera\bookmarks.txt
- %LOCALAPPDATA%\44\browsers\cookies_opera(48).txt
- %TEMP%\tmpcb93.tmp.dat
- %TEMP%\tmpcaf6.tmp.dat
- %TEMP%\tmpcad6.tmp.dat
- C:\users\public\wjj9aet2.default\key3.db
- %TEMP%\tmpca97.tmp.dat
- %TEMP%\tmpca86.tmp.tmpdb
- %LOCALAPPDATA%\44\process.txt
- %TEMP%\tmpca37.tmp.tmpdb
- %TEMP%\tmpca26.tmp.dat
- C:\users\public\gn7ryp3k.default\key3.db
- %LOCALAPPDATA%\44\telegram\usertag
- %TEMP%\tmpc96a.tmp.dat
- %LOCALAPPDATA%\44\telegram\settings0
- %TEMP%\tmpc86f.tmp.dat
- %TEMP%\tmpc87f.tmp.tmpdb
- %LOCALAPPDATA%\44\telegram\d877f783d5d3ef8c\map0
- %TEMP%\tmpc784.tmp.dat
- %LOCALAPPDATA%\44\browsers\cookies_google(36).txt
- %LOCALAPPDATA%\44\information.txt
Удаляет следующие файлы
- %TEMP%\tmpc784.tmp.dat
- %TEMP%\tmpc6f6.tmp.tmpdb
- %TEMP%\tmpc86f.tmp.dat
- %TEMP%\tmpc96a.tmp.dat
- %TEMP%\tmpc87f.tmp.tmpdb
- %TEMP%\tmpca26.tmp.dat
- %TEMP%\tmpca37.tmp.tmpdb
- %TEMP%\tmpca86.tmp.tmpdb
- %TEMP%\tmpca97.tmp.dat
- %TEMP%\tmpcad6.tmp.dat
- %TEMP%\tmpcaf6.tmp.dat
- %TEMP%\tmpcb93.tmp.dat
Сетевая активность
UDP
- DNS ASK fr###eoip.app
