Техническая информация
Вредоносные функции
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\Martin Prikryl\WinSCP 2\Sessions]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\stealer_data_1773364447_4284\screenshot.jpg
- %TEMP%\temp_login_1773364493.db
- %TEMP%\temp_cards_1773364493.db
- %TEMP%\temp_webdata_1773364493.db
- %TEMP%\stealer_data_1773364447_4284\system_info.txt
- %TEMP%\temp_webdata_1773364493_4284.db
- %TEMP%\ru_185_93_40_66.zip
Удаляет файлы, которые сам же создал
- %TEMP%\temp_webdata_1773364493_4284.db
- %TEMP%\ru_185_93_40_66.zip
- %TEMP%\stealer_data_1773364447_4284\screenshot.jpg
- %TEMP%\stealer_data_1773364447_4284\system_info.txt
- %TEMP%\temp_login_1773364493.db
- %TEMP%\temp_cards_1773364493.db
- %TEMP%\temp_webdata_1773364493.db
Сетевая активность
Подключается к
- 'ip##pi.com':80
- '15#.#40.151.134':80
TCP
Запросы HTTP GET
- /json/?fi############################# via ip##pi.com
Запросы HTTP POST
- /upload via 15#.#40.151.134
Другие
- '15#.#40.151.134':80
UDP
- DNS ASK ip##pi.com
