Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\000814251_video_01.avi
- %HOMEPATH%\desktop\168.jpeg
- %HOMEPATH%\desktop\64bit_notes.htm
- %HOMEPATH%\desktop\about.html
- %HOMEPATH%\desktop\aoc_saq_d_v3_merchant.docx
- %HOMEPATH%\desktop\api-hashmap.html
- %HOMEPATH%\desktop\applicantform_en.doc
- %HOMEPATH%\desktop\contosoroot.cer
- %HOMEPATH%\desktop\dashborder_144.bmp
- %HOMEPATH%\desktop\dashborder_96.bmp
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\desktop\000814251_video_01.avi.lcryx
- %HOMEPATH%\desktop\168.jpeg.lcryx
- %HOMEPATH%\desktop\64bit_notes.htm.lcryx
- %HOMEPATH%\desktop\about.html.lcryx
- %HOMEPATH%\desktop\desktop.ini.lcryx
Изменяет расширения файлов пользовательских данных (Trojan.Encoder).
Другое
Запускает на исполнение
- '<SYSTEM32>\wscript.exe' "<PATH_SAMPLE>.vbs" /elevated
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\000814251_video_01.avi.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\168.jpeg.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\64bit_notes.htm.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\about.html.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\aoc_saq_d_v3_merchant.docx.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\api-hashmap.html.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\applicantform_en.doc.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\contosoroot.cer.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\dashBorder_144.bmp.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\dashBorder_96.bmp.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\desktop.ini.lcryx
