Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\autochk.exe
- %WINDIR%\syswow64\autoconv.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\<Имя файла>.exe.log
- %TEMP%\68_51i34
Сетевая активность
Подключается к
- 'tr##sfer.sh':443
- 're###iana.com':80
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/CABD2A79A1076A31F21D253635CB039D4329A5E8.crt?fd##############
- http://www.re###iana.com/ups4/?6J########################################################################################################################
Другие
- 'tr##sfer.sh':443
UDP
- DNS ASK tr##sfer.sh
- DNS ASK re###iana.com
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\aspnet_compiler.exe'
- '%WINDIR%\syswow64\raserver.exe'
- '%ProgramFiles%\mozilla firefox\firefox.exe'
