Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\warsawsecurity.exe
- %APPDATA%\microsoft\windows\start menu\programs\startup\myapp.lnk
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\extension\0_manifest.json
- <Текущая директория>\extension\1_manifest.json
- <Текущая директория>\extension\2_manifest.json
- <Текущая директория>\extension\3_manifest.json
- <Текущая директория>\extension\4_manifest.json
- <Текущая директория>\history
- <Текущая директория>\download
- <Текущая директория>\password
- <Текущая директория>\creditcard
- <Текущая директория>\chromiumkey
- <Текущая директория>\cookie
Удаляет следующие файлы
- <Текущая директория>\chromiumkey
Сетевая активность
Подключается к
- '13#.#85.238.251':7777
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' ver (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive "$WshShell = New-Object -comObject WScript.Shell $Shortcut = $WshShell.CreateShortcut(\"$HOME\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MyAPP.lnk\...
