Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\securityhealthsystray.exe
- %WINDIR%\syswow64\rundll32.exe
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- qwdqqzzebj.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\twyagsvtzc.po
- %TEMP%\qwdqqzzebj.exe
- %TEMP%\0fenjid4
Изменяет следующие файлы
- %LOCALAPPDATA%\microsoft\vault\userprofileroaming\latest.dat
Сетевая активность
Подключается к
- 'ro###strong.com':80
TCP
Запросы HTTP GET
- http://www.ro###strong.com/nfgh/?4E######################################################################################################################
UDP
- DNS ASK ve###verify.com
- DNS ASK do##c.xyz
- DNS ASK ro###strong.com
Другое
Создает и запускает на исполнение
- '%TEMP%\qwdqqzzebj.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe'
- '%ProgramFiles%\mozilla firefox\firefox.exe'
