Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %APPDATA%\opera software\opera stable\login data
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
- %HOMEPATH%\desktop\adhd_and_obesity.docx
- %HOMEPATH%\desktop\aoc_saq_d_v3_merchant.docx
- %HOMEPATH%\desktop\february_catalogue__2015.doc
- %HOMEPATH%\desktop\file_p_00000000_1371597592.docx
- %HOMEPATH%\desktop\sdszfo.docx
- %HOMEPATH%\desktop\thlps_keeper_mayer_1965.docx
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\opera software_opera stable_login_data
- %TEMP%\google_default_login_data
- %TEMP%\microsoft_default_login_data
- %TEMP%\microsoft_default_webdata
- %TEMP%\sensfiles.zip
- %TEMP%\ugpg150esr1mwr4tqjiyf2qwkrxnbo\sensfiles.zip
- %TEMP%\ugpg150esr1mwr4tqjiyf2qwkrxnbo\user_info.txt
- %TEMP%\ugpg150esr1mwr4tqjiyf2qwkrxnbo\screen1.png
- %TEMP%\out.zip
Удаляет файлы, которые сам же создал
- %TEMP%\sensfiles.zip
- %TEMP%\out.zip
Изменяет следующие файлы
Сетевая активность
Подключается к
- 'ip##o.is':80
- 'ap#.##legram.org':443
TCP
Запросы HTTP GET
- /?ou######### via ip##o.is
Другие
- 'ap#.##legram.org':443
UDP
- DNS ASK ip##o.is
- DNS ASK ap#.##legram.org
Другое
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command "Set-MpPreference -ExclusionPath" C:\
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -NonInteractive -NoLogo -Command "Get-Culture | Select -ExpandProperty DisplayName"
