Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- wab.exe
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\ubarberet\liniesorteringer.pro
- %LOCALAPPDATA%\ubarberet\chauvinisters.ryg
- %LOCALAPPDATA%\ubarberet\behandlingsmaal.sac
- %LOCALAPPDATA%\ubarberet\fdegodser\kliniklokalernes.sun
- %LOCALAPPDATA%\ubarberet\fdegodser\potatory.rea
- %LOCALAPPDATA%\ubarberet\fdegodser\teda.txt
- %CommonProgramFiles(x86)%\ukases.lnk
- %LOCALAPPDATA%\ubarberet\fdegodser\<Имя файла>.exe
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
Сетевая активность
Подключается к
- 'drive.google.com':443
- 'pk#.goog':80
- 'microsoft.com':80
TCP
Запросы HTTP GET
- http://pk#.goog/gsr1/gsr1.crt
Другие
- 'drive.google.com':443
UDP
- DNS ASK drive.google.com
- DNS ASK pk#.goog
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -windowstyle hidden "$Afspejlingen=Get-Content '%LOCALAPPDATA%\Ubarberet\Chauvinisters.Ryg';$Inddrive=$Afspejlingen.SubString(60013,3);.$Inddrive($Afspejlingen)"
- '%WINDIR%\syswow64\cmd.exe' /c "set /A 1^^0"
- '%ProgramFiles(x86)%\windows mail\wab.exe'
