Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\update
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\adhd_and_obesity.docx
- %HOMEPATH%\desktop\aoc_saq_d_v3_merchant.docx
- %HOMEPATH%\desktop\applicantform_en.doc
- %HOMEPATH%\desktop\fi51.doc
- %HOMEPATH%\desktop\hadac_newsletter_july_2010_final.docx
- %HOMEPATH%\desktop\hanni_umami_chapter.doc
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\cudaiuzi1ahrvudhzfmstzyvivbral\cookies_firefox.txt
- %TEMP%\sensfiles.zip
- %TEMP%\cudaiuzi1ahrvudhzfmstzyvivbral\sensfiles.zip
- %TEMP%\cudaiuzi1ahrvudhzfmstzyvivbral\telegram\tdata\d877f783d5d3ef8c\map0
- %TEMP%\cudaiuzi1ahrvudhzfmstzyvivbral\telegram\settings0
- %TEMP%\cudaiuzi1ahrvudhzfmstzyvivbral\telegram\usertag
- %TEMP%\cudaiuzi1ahrvudhzfmstzyvivbral\user_info.txt
- %TEMP%\cudaiuzi1ahrvudhzfmstzyvivbral\screen1.png
- %TEMP%\update
- %TEMP%\out.zip
Изменяет следующие файлы
Сетевая активность
Подключается к
- 'ip##o.is':443
- 'microsoft.com':80
- 'ap#.##legram.org':443
TCP
Другие
- 'ip##o.is':443
- 'ap#.##legram.org':443
UDP
- DNS ASK ip##o.is
- DNS ASK microsoft.com
- DNS ASK ap#.##legram.org
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -NoLogo -Command "Get-Culture | Select -ExpandProperty DisplayName"
- '<SYSTEM32>\cmd.exe' /c "schtasks /Create /TR %TEMP%\\update /SC ONLOGON /TN update /IT"
- '<SYSTEM32>\schtasks.exe' /Create /TR %TEMP%\\update /SC ONLOGON /TN update /IT
