Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- C:\kms\audiodg.exe
- %TEMP%\kh64hvrm6j
- %TEMP%\e9pzb2tcbu
- %TEMP%\qg5hbzauew
- %TEMP%\qcfhjp4emg
- %TEMP%\iedc9dtbxe
- %TEMP%\xweay4jt9y
- %TEMP%\xvztcwgdqa
- %TEMP%\c9eabzz55z
- %TEMP%\ojvzax6wh6
- %TEMP%\owhpqyz82w
- %TEMP%\y7rdfuiwgk
- %HOMEPATH%\desktop\eknsfriv.log
- %HOMEPATH%\desktop\kvunycnk.log
- nul
- %TEMP%\kafgcudc0i.bat
- %TEMP%\2gmzs2saih
- C:\kms\9db6e019d4f04e
- C:\kms\iexplore.exe
- C:\kms\8f7a4347e2c370
- C:\kms\<Имя файла>.exe
- %WINDIR%\fonts\6ccacd8608530f
- %WINDIR%\fonts\idle.exe
- C:\kms\42af1c969fbb7b
- %TEMP%\uwtrabifaj
- %TEMP%\c9hkkqmqgq
Удаляет следующие файлы
- %TEMP%\2gmzs2saih
- %TEMP%\y7rdfuiwgk
Сетевая активность
Подключается к
- '82.##7.84.38':80
TCP
Запросы HTTP POST
- http://82.##7.84.38/Multimulti/js7/LocalBigload1/4/4/Downloadscpu1temp/dump9/track0Geo/1_Externalserver/Uploads8uploads/Bigload/tempupdateUniversalProcessor/PhpGameJs/DatalifeprotonWindowsimage...
UDP
- 'localhost':123
Другое
Создает и запускает на исполнение
- 'C:\kms\iexplore.exe'
- '<SYSTEM32>\cmd.exe' /C "%TEMP%\KAfGCudc0i.bat"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "%TEMP%\KAfGCudc0i.bat"
- '<SYSTEM32>\chcp.com' 65001
- '<SYSTEM32>\w32tm.exe' /stripchart /computer:localhost /period:5 /dataonly /samples:2
