Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\bb52.tmp
- %TEMP%\bc9b.tmp
- %TEMP%\bc9b.tmp-shm
- %TEMP%\bcea.tmp
- %TEMP%\bcea.tmp-shm
- %TEMP%\bd29.tmp
- %TEMP%\bd29.tmp-shm
Удаляет следующие файлы
- %TEMP%\bb52.tmp
- %TEMP%\bc9b.tmp-shm
- %TEMP%\bc9b.tmp
- %TEMP%\bcea.tmp-shm
- %TEMP%\bcea.tmp
- %TEMP%\bd29.tmp-shm
- %TEMP%\bd29.tmp
Подменяет следующие файлы
- %TEMP%\bb52.tmp
- %TEMP%\bc9b.tmp
- %TEMP%\bc9b.tmp-shm
- %TEMP%\bcea.tmp
- %TEMP%\bcea.tmp-shm
- %TEMP%\bd29.tmp
- %TEMP%\bd29.tmp-shm
Самоудаляется.
Сетевая активность
UDP
- DNS ASK ch###villy.top
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ping localhost -n 4 && del "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ping localhost -n 4 && del "<Полный путь к файлу>"
- '%WINDIR%\syswow64\ping.exe' localhost -n 4
