Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\blob
- %TEMP%\cookies
- %TEMP%\history
- %TEMP%\login data
- %TEMP%\web data
- %TEMP%\cookies.sqlite
- %TEMP%\cookies.sqlite-shm
- %TEMP%\places.sqlite
- %TEMP%\places.sqlite-shm
Удаляет следующие файлы
- %TEMP%\history
- %TEMP%\login data
- %TEMP%\web data
- %TEMP%\cookies.sqlite-shm
- %TEMP%\cookies.sqlite
- %TEMP%\places.sqlite-shm
- %TEMP%\places.sqlite
Подменяет следующие файлы
- %TEMP%\history
- %TEMP%\places.sqlite
- %TEMP%\places.sqlite-shm
Сетевая активность
Подключается к
- '13#.#55.81.137':8443
TCP
Другие
- '13#.#55.81.137':8443
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c start %TEMP%\blob
- '<SYSTEM32>\cmd.exe' /C "WMIC DISKDRIVE GET SERIALNUMBER" (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' DISKDRIVE GET SERIALNUMBER
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shell32.dll,OpenAs_RunDLL %TEMP%\blob
- '<SYSTEM32>\wbem\wmic.exe' cpu get processorid (со скрытым окном)
- '<SYSTEM32>\systeminfo.exe' (со скрытым окном)
- '<SYSTEM32>\ipconfig.exe' /all (со скрытым окном)
- '<SYSTEM32>\netstat.exe' -an (со скрытым окном)
- '<SYSTEM32>\netsh.exe' wlan show profiles (со скрытым окном)
