Техническая информация
Вредоносные функции
Патчит код
в динамической библиотеке
- Процесс aoww.exe, модуль wmp.DLL
- Процесс aoww.exe, модуль KERNEL32.dll
Перехватывает управление с помощью отладочных регистров
в динамической библиотеке NTDLL
- Процесс aoww.exe, модуль ntdll.dll
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\Martin Prikryl\WinSCP 2\Sessions]
- [HKCU\SOFTWARE\FTPWare\COREFTP\Sites]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %HOMEPATH%\desktop\applicantform_en.doc
- %HOMEPATH%\desktop\sdszfo.docx
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\m4q36m009p8ubcbc.node
Самоперемещается
- из <Полный путь к файлу> в \:x
Сетевая активность
Подключается к
- 'po######public.nodies.app':443
- '21#.#29.88.53':80
- 'jy############yjtryjtryjrtyjtryjrtyj.onfinality.pro':443
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?62##############
Другие
- 'po######public.nodies.app':443
- 'jy############yjtryjtryjrtyjtryjrtyj.onfinality.pro':443
UDP
- DNS ASK po######public.nodies.app
- DNS ASK jy############yjtryjtryjrtyjtryjrtyj.onfinality.pro
