Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\000814251_video_01.avi
- %HOMEPATH%\desktop\3.jpeg
- %HOMEPATH%\desktop\508softwareandos.doc
- %HOMEPATH%\desktop\adadsi.html
- %HOMEPATH%\desktop\advice_process.htm
- %HOMEPATH%\desktop\alert.html
- %HOMEPATH%\desktop\api-hashmap.html
- %HOMEPATH%\desktop\applicantform_en.doc
- %HOMEPATH%\desktop\archer.avi
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\desktop\000814251_video_01.avi.lcryx
- %HOMEPATH%\desktop\3.jpeg.lcryx
- %HOMEPATH%\desktop\508softwareandos.doc.lcryx
- %HOMEPATH%\desktop\adadsi.html.lcryx
Изменяет расширения файлов пользовательских данных (Trojan.Encoder).
Другое
Запускает на исполнение
- '<SYSTEM32>\wscript.exe' "<PATH_SAMPLE>.vbs" /elevated
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\000814251_video_01.avi.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\3.jpeg.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\508softwareandos.doc.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\adadsi.html.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\advice_process.htm.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\alert.html.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\api-hashmap.html.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\applicantform_en.doc.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\archer.avi.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\browse.html.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\calc.exe.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\contosoroot_1.cer.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\dashBorder_144.bmp.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\desktop.ini.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\dialmap.bmp.lcryx
