Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- msedge.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\sodium\screenshots\screenshot_all.png
- %TEMP%\sodium\screenshots\screenshot_monitor_1.png
- %TEMP%\sodium\infos\computer.txt
- %TEMP%\sodium\infos\network.txt
- %TEMP%\sodium\infos\processes.txt
- %TEMP%\sodium\infos\system.txt
- %TEMP%\ffjlyrzvhcv.zip
Удаляет файлы, которые сам же создал
- %TEMP%\ffjlyrzvhcv.zip
- %TEMP%\sodium\infos\computer.txt
- %TEMP%\sodium\infos\network.txt
- %TEMP%\sodium\infos\processes.txt
- %TEMP%\sodium\infos\system.txt
- %TEMP%\sodium\screenshots\screenshot_all.png
- %TEMP%\sodium\screenshots\screenshot_monitor_1.png
Сетевая активность
UDP
- DNS ASK ap#.#pify.org
- DNS ASK t.#e
- DNS ASK ip##i.co
Другое
Запускает на исполнение
- '%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Compress-Archive -Path '%TEMP%\\Sodium\*' -DestinationPath '%TEMP%\ffjlyrzvhcv.zip' -Force" (со скрытым окном)
