Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- 'UserUpdateSvc' %TEMP%\svchost_1770509843.exe
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %APPDATA%\mozilla\firefox\profiles.ini
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\svchost_1770509843.exe
- nul
Сетевая активность
Подключается к
- 'ap#.##legram.org':443
TCP
Другие
- 'ap#.##legram.org':443
UDP
- DNS ASK ap#.##legram.org
Другое
Создает и запускает на исполнение
- '%TEMP%\svchost_1770509843.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\sc.exe' create UserUpdateSvc binPath= %TEMP%\svchost_1770509843.exe start= auto obj= .\\LocalSystem (со скрытым окном)
- '%WINDIR%\syswow64\cmdkey.exe' /list (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' wlan show profiles (со скрытым окном)
- '%TEMP%\svchost_1770509843.exe' (со скрытым окном)
