Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
- %WINDIR%\syswow64\wlanext.exe
следующие пользовательские процессы:
- gkvlc.exe
- firefox.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsr8096.tmp
- %TEMP%\gzvlobsyjjr.l
- %TEMP%\htujbhttw.eyi
- %TEMP%\gkvlc.exe
- %TEMP%\3_45586py
Изменяет следующие файлы
- %LOCALAPPDATA%\microsoft\vault\userprofileroaming\latest.dat
Сетевая активность
Подключается к
- 'so###ape.org':80
- 'la####icargo.com':80
TCP
Запросы HTTP GET
- http://www.so###ape.org/qsni/?T6#####################################################################################################################
UDP
- DNS ASK st####weiden.click
- DNS ASK de####urveys.com
- DNS ASK pg###aining.com
- DNS ASK da##ar.net
- DNS ASK no###aks.com
- DNS ASK lo##w.space
- DNS ASK pa###iky.site
- DNS ASK co####nnect.online
- DNS ASK so###ape.org
- DNS ASK th#####nerudraksha.com
- DNS ASK we###lech.shop
- DNS ASK la####icargo.com
Другое
Создает и запускает на исполнение
- '%TEMP%\gkvlc.exe' %TEMP%\htujbhttw.eyi
- '%TEMP%\gkvlc.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\wlanext.exe'
- '%ProgramFiles%\mozilla firefox\firefox.exe'
