Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsm5897.tmp
- %TEMP%\mnqeby.fv
- %TEMP%\nsy5bb5.tmp\yrxovweqc.dll
- %TEMP%\52-845m8e
Изменяет следующие файлы
- %LOCALAPPDATA%\microsoft\vault\userprofileroaming\latest.dat
Сетевая активность
Подключается к
- 'lo####masterfab.pro':80
TCP
Запросы HTTP GET
- http://www.lo####masterfab.pro/m6vg/?89##########################################################################################################################
UDP
- DNS ASK in####tconvey.com
- DNS ASK lo####masterfab.pro
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\raserver.exe'
- '%ProgramFiles%\mozilla firefox\firefox.exe'
- '<SYSTEM32>\svchost.exe' -k wsappx -p
