Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\000814251_video_01.avi
- %HOMEPATH%\desktop\alert.html
- %HOMEPATH%\desktop\browse.htm
- %HOMEPATH%\desktop\contosoroot.cer
- %HOMEPATH%\desktop\contosoroot_1.cer
- %HOMEPATH%\desktop\dashborder_144.bmp
- %HOMEPATH%\desktop\dial.bmp
- %HOMEPATH%\desktop\dialmap.bmp
- %HOMEPATH%\desktop\fi51.doc
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\desktop\000814251_video_01.avi.lcryx
- %HOMEPATH%\desktop\alert.html.lcryx
- %HOMEPATH%\desktop\browse.htm.lcryx
- %HOMEPATH%\desktop\contosoroot.cer.lcryx
- %HOMEPATH%\desktop\contosoroot_1.cer.lcryx
- %HOMEPATH%\desktop\desktop.ini.lcryx
Изменяет расширения файлов пользовательских данных (Trojan.Encoder).
Другое
Запускает на исполнение
- '<SYSTEM32>\wscript.exe' "<PATH_SAMPLE>.vbs" /elevated
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\000814251_video_01.avi.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\alert.html.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\browse.htm.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\contosoroot.cer.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\contosoroot_1.cer.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\dashBorder_144.bmp.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\desktop.ini.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\dial.bmp.lcryx
- '<SYSTEM32>\notepad.exe' %HOMEPATH%\Desktop\dialmap.bmp.lcryx
