Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %APPDATA%\mozilla\firefox\profiles.ini
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\xmode\webv.exe
- %ProgramFiles(x86)%\xmode\vcruntime140.dll
- %TEMP%\bhv4f2a.tmp
- %ProgramFiles(x86)%\xmode\data\webv.svp
- %ProgramFiles(x86)%\xmode\data\computer.svp
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
Удаляет файлы, которые сам же создал
- %TEMP%\bhv4f2a.tmp
Изменяет следующие файлы
- %LOCALAPPDATA%\microsoft\vault\userprofileroaming\latest.dat
Сетевая активность
Подключается к
- 'gi##ub.com':443
- 'ra#.####ubusercontent.com':443
- 'ap#.#pify.org':443
- 'sm##.gmail.com':587
TCP
Другие
- 'gi##ub.com':443
- 'ra#.####ubusercontent.com':443
- 'ap#.#pify.org':443
- 'sm##.gmail.com':587
UDP
- DNS ASK gi##ub.com
- DNS ASK ra#.####ubusercontent.com
- DNS ASK ap#.#pify.org
- DNS ASK sm##.gmail.com
Другое
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\xmode\webv.exe' /stext webv.svp
Запускает на исполнение
- '%ProgramFiles(x86)%\xmode\webv.exe' /stext webv.svp (со скрытым окном)
