Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\new1.bat
- %LOCALAPPDATA%\44\screen.png
- C:\users\public\npsdfqy3.default-release\cert9.db
- C:\users\public\npsdfqy3.default-release\key4.db
- %TEMP%\tmp2034.tmp.tmpdb
- %TEMP%\tmp1fb6.tmp.tmpdb
- C:\users\public\0j9e9tku.default-release\cert9.db
- C:\users\public\0j9e9tku.default-release\key4.db
- %TEMP%\tmp1f57.tmp.tmpdb
- %TEMP%\tmp1f37.tmp.dat
- %TEMP%\tmp1f27.tmp.dat
- %TEMP%\tmp1f16.tmp.dat
- %TEMP%\tmp1ee6.tmp.dat
- %TEMP%\tmp1d9e.tmp.tmpdb
- %TEMP%\rarsfx1\insidious.exe
- %TEMP%\rarsfx0\insidious.sfx.exe
- %LOCALAPPDATA%\44\process.txt
- %LOCALAPPDATA%\44\information.txt
Удаляет следующие файлы
- %TEMP%\rarsfx0\insidious.sfx.exe
- %TEMP%\tmp1ee6.tmp.dat
- %TEMP%\tmp1f16.tmp.dat
- %TEMP%\tmp1d9e.tmp.tmpdb
- %TEMP%\tmp1f27.tmp.dat
- %TEMP%\tmp1f37.tmp.dat
- %TEMP%\tmp1f57.tmp.tmpdb
- %TEMP%\tmp1fb6.tmp.tmpdb
- %TEMP%\tmp2034.tmp.tmpdb
- %TEMP%\rarsfx1\insidious.exe
Сетевая активность
Подключается к
- 'fr###eoip.app':443
- 'pk#.goog':80
- 'ip##se.com':443
TCP
Запросы HTTP GET
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'fr###eoip.app':443
- 'ip##se.com':443
UDP
- DNS ASK fr###eoip.app
- DNS ASK pk#.goog
- DNS ASK ip##se.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\insidious.sfx.exe' -p724156721784
- '%TEMP%\rarsfx1\insidious.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\RarSFX0\new1.bat" "
