Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework64\v4.0.30319\jsc.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\microsoft.net\framework64\v4.0.30319\dfsvc.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\datasvcutil.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\msbuild.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\caspol.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
- %HOMEPATH%\desktop\508softwareandos.doc
- %HOMEPATH%\desktop\aoc_saq_d_v3_merchant.docx
- %HOMEPATH%\desktop\applicantform_en.doc
- %HOMEPATH%\desktop\hanni_umami_chapter.doc
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: 'OllYDbg'
Сетевая активность
Подключается к
- '77.##2.38.234':34067
TCP
Другие
- '77.##2.38.234':34067
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\jsc.exe'
