Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- msedge.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\cl_fraqbc8w.exe
- %TEMP%\cl_jcrgrywt.exe
- %TEMP%\cl_f69azbla.exe
- %TEMP%\history_hm3solbp.db
- %APPDATA%\arkanix_lol\history.json
- %TEMP%\history_h71yexui.db
- %APPDATA%\arkanix_lol\system_info.json
- %APPDATA%\arkanix_lol\screenshot_monitor_1.png
Удаляет файлы, которые сам же создал
- %TEMP%\history_hm3solbp.db
- %TEMP%\history_h71yexui.db
Сетевая активность
Подключается к
- 'ar##nix.pw':443
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?40##############
Другие
- 'ar##nix.pw':443
UDP
- DNS ASK ar##nix.pw
Другое
Создает и запускает на исполнение
- '%TEMP%\cl_fraqbc8w.exe' chrome --output-path "%TEMP%\arkanix_sa1xVPfv"
- '%TEMP%\cl_jcrgrywt.exe' edge --output-path "%TEMP%\arkanix_iizs2trQ"
- '%TEMP%\cl_f69azbla.exe' opera --output-path "%TEMP%\arkanix_x3CF3EDN"
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c wmic cpu get processorid 2>nul
- '<SYSTEM32>\wbem\wmic.exe' cpu get processorid
- '<SYSTEM32>\cmd.exe' /c wmic baseboard get serialnumber 2>nul
- '<SYSTEM32>\wbem\wmic.exe' baseboard get serialnumber
- '%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe' --type=gpu-process
- '%TEMP%\cl_fraqbc8w.exe' chrome --output-path "%TEMP%\arkanix_sa1xVPfv" (со скрытым окном)
- '%TEMP%\cl_jcrgrywt.exe' edge --output-path "%TEMP%\arkanix_iizs2trQ" (со скрытым окном)
- '%TEMP%\cl_f69azbla.exe' opera --output-path "%TEMP%\arkanix_x3CF3EDN" (со скрытым окном)
