Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %APPDATA%\opera software\opera stable\login data
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tmpe81.tmp.tmpdb
- %APPDATA%\44\screen.png
- %APPDATA%\44\browsers\opera\bookmarks.txt
- %APPDATA%\44\browsers\cookies_opera(41).txt
- %TEMP%\tmp11b7.tmp.dat
- %APPDATA%\44\telegram\usertag
- %APPDATA%\44\telegram\settings0
- %TEMP%\tmp112a.tmp.dat
- %APPDATA%\44\telegram\d877f783d5d3ef8c\map0
- %TEMP%\tmp1119.tmp.dat
- %APPDATA%\44\process.txt
- %TEMP%\tmp1108.tmp.dat
- %TEMP%\tmp10b9.tmp.tmpdb
- %APPDATA%\44\browsers\cookies_google(58).txt
- %TEMP%\tmp10a9.tmp.dat
- %TEMP%\tmp1079.tmp.tmpdb
- C:\users\public\gn7ryp3k.default\key3.db
- %TEMP%\tmp103a.tmp.dat
- %TEMP%\tmp100a.tmp.dat
- %TEMP%\tmpfe9.tmp.dat
- %TEMP%\tmpfea.tmp.tmpdb
- C:\users\public\wjj9aet2.default\key3.db
- %APPDATA%\44\information.txt
Удаляет следующие файлы
- %TEMP%\tmpe81.tmp.tmpdb
- %TEMP%\tmpfea.tmp.tmpdb
- %TEMP%\tmpfe9.tmp.dat
- %TEMP%\tmp100a.tmp.dat
- %TEMP%\tmp103a.tmp.dat
- %TEMP%\tmp1079.tmp.tmpdb
- %TEMP%\tmp10a9.tmp.dat
- %TEMP%\tmp10b9.tmp.tmpdb
- %TEMP%\tmp1108.tmp.dat
- %TEMP%\tmp1119.tmp.dat
- %TEMP%\tmp112a.tmp.dat
- %TEMP%\tmp11b7.tmp.dat
Сетевая активность
Подключается к
- 'fr###eoip.app':443
- 'ip##se.com':443
TCP
Другие
- 'fr###eoip.app':443
- 'ip##se.com':443
UDP
- DNS ASK fr###eoip.app
- DNS ASK ip##se.com
