Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\createexplorershellunelevatedtask
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\explorer.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %APPDATA%\opera software\opera stable\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\1212-2992-<Имя файла>.exe-16-15-20-592.dump
- %TEMP%\tmp_pass
- %TEMP%\tmp_cookies
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\tmp_pass
- %TEMP%\tmp_cookies
Удаляет файлы, которые сам же создал
- %TEMP%\tmp_pass
- %TEMP%\tmp_cookies
Подменяет следующие файлы
- %TEMP%\tmp_pass
Сетевая активность
Подключается к
- 'kn######died.gl.at.ply.gg':50473
UDP
- DNS ASK kn######died.gl.at.ply.gg
Другое
Ищет следующие окна
- ClassName: 'Progman' WindowName: ''
- ClassName: 'Proxy Desktop' WindowName: ''
Запускает на исполнение
- '%WINDIR%\explorer.exe'
- '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' Client know-studied.gl.at.ply.gg 50473 HLTysKKVp (со скрытым окном)
- '%WINDIR%\explorer.exe' /NoUACCheck
