Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- msedge.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\Martin Prikryl\WinSCP 2\Sessions]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\login data
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\movies\system information.txt
- %LOCALAPPDATA%\microsoft\movies\installed software.txt
- %APPDATA%\thunderbird\profiles\gbmwccb6.default-release\places.sqlite-shm
- %APPDATA%\thunderbird\profiles\gbmwccb6.default-release\cookies.sqlite-shm
- %LOCALAPPDATA%\microsoft\movies\gecko browsers\bookmarks.txt
- %LOCALAPPDATA%\microsoft\movies\retrieved map.txt
- %LOCALAPPDATA%\microsoft\m.zip
Удаляет файлы, которые сам же создал
- %LOCALAPPDATA%\microsoft\movies\gecko browsers\bookmarks.txt
- %LOCALAPPDATA%\microsoft\movies\installed software.txt
- %LOCALAPPDATA%\microsoft\movies\retrieved map.txt
- %LOCALAPPDATA%\microsoft\movies\system information.txt
- %LOCALAPPDATA%\microsoft\m.zip
Изменяет следующие файлы
Сетевая активность
Подключается к
- '20#.#59.90.117':8080
UDP
- DNS ASK ap#.#pify.org
Другое
Запускает на исполнение
- '%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Compress-Archive -Path "%LOCALAPPDATA%\Microsoft\Movies" -DestinationPath "%LOCALAPPDATA%\Microsoft\m.zip" (со скрытым окном)
