Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tmp696c.tmp.tmpdb
- %TEMP%\tmp6a28.tmp.dat
- %TEMP%\tmp6bce.tmp.dat
- %TEMP%\tmp6bfe.tmp.tmpdb
- %TEMP%\tmp6bff.tmp.dat
- %TEMP%\tmp6c1f.tmp.dat
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
- %ALLUSERSPROFILE%\44\screen.png
- %ALLUSERSPROFILE%\44\process.txt
Сетевая активность
Подключается к
- 'fr###eoip.app':443
- 'pk#.goog':80
- 'ip##se.com':443
TCP
Запросы HTTP GET
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'fr###eoip.app':443
- 'ip##se.com':443
UDP
- DNS ASK fr###eoip.app
- DNS ASK pk#.goog
- DNS ASK ip##se.com
