Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\<Имя файла>.exe
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM msedge.exe
- '<SYSTEM32>\taskkill.exe' /F /IM notepad.exe
- '<SYSTEM32>\taskkill.exe' /F /IM brave.exe
- '<SYSTEM32>\taskkill.exe' /F /IM opera.exe
- '<SYSTEM32>\taskkill.exe' /F /IM chrome.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\lgtuv_\screen_0_screenshot.png
- %TEMP%\lgtuv_\dsctok.txt
- nul
Сетевая активность
Подключается к
- 'ex##ple.com':80
- 'ip##fo.io':443
TCP
Запросы HTTP GET
- http://ex##ple.com/
Другие
- 'ip##fo.io':443
UDP
- DNS ASK ip##fo.io
- DNS ASK ex##ple.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Get-Clipboard -TextFormatType Text"
- '<SYSTEM32>\cmd.exe' /c c\"mdke\"y /li\"s\"t
- '<SYSTEM32>\tasklist.exe'
