Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- msedge.exe
- firefox.exe
Завершает или пытается завершить
следующие пользовательские процессы:
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\.net\<Имя файла>\10a4\e_sqlite3.dll
- %TEMP%\nf_fx_1777602420475.sqlite
- %TEMP%\nf_fx_1777602420475.sqlite-shm
- %TEMP%\mscredentials\sess_1777602420107\discord tokens.txt
- %TEMP%\microsoft\identitycrl\production\msvc_provider.exe
- %TEMP%\mscredentials\sess_1777602420107\system info.txt
- %TEMP%\browsers_1777602424739.zip
Удаляет файлы, которые сам же создал
- %TEMP%\microsoft\identitycrl\production\msvc_provider.exe
- %TEMP%\browsers_1777602424739.zip
- %TEMP%\mscredentials\sess_1777602420107\discord tokens.txt
- %TEMP%\mscredentials\sess_1777602420107\system info.txt
Сетевая активность
Подключается к
- 'x1.#.lencr.org':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
Другие
- 'l8##ca.xyz':443
- 'ip##i.co':443
- '1.#.1.1':443
UDP
- DNS ASK l8##ca.xyz
- DNS ASK x1.#.lencr.org
- DNS ASK ip##i.co
Другое
Создает и запускает на исполнение
- '%TEMP%\microsoft\identitycrl\production\msvc_provider.exe' -o "%TEMP%\Vault\Svc_1777602421443" all
Запускает на исполнение
- '%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe'
- '%ProgramFiles%\mozilla firefox\firefox.exe' -no-remote -headless
- '%TEMP%\microsoft\identitycrl\production\msvc_provider.exe' -o "%TEMP%\Vault\Svc_1777602421443" all (со скрытым окном)
