Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'abada' = '%APPDATA%\Microsoft\Windows\Templates\ghenting.exe'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- qofyegkfd.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\FTPWare\COREFTP\Sites\]
- [HKCU\Software\Martin Prikryl\WinSCP 2\Sessions\]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\qofyegkfd.exe
- %APPDATA%\microsoft\windows\templates\zgvnhspfapv-user\logindata
- %APPDATA%\microsoft\windows\templates\zgvnhspfapv-user\webdata
- %APPDATA%\microsoft\windows\templates\ghenting.exe
Сетевая активность
Подключается к
- 'sh##ip.net':80
TCP
Запросы HTTP GET
- http://sh##ip.net/
UDP
- DNS ASK sh##ip.net
Другое
Создает и запускает на исполнение
- 'C:\users\public\qofyegkfd.exe'
