Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\dllhost.exe
Патчит код
в динамической библиотеке AMSI
- Процесс qelwsop.exe, модуль Amsi.dll
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\msdia_0000041c\000e3525.tmp
- %TEMP%\msdia_0000041c\000ee962.tmp
- %TEMP%\msdia_0000041c\000f2ce3.tmp
- %TEMP%\msdia_0000041c\000fb3d6.tmp
Удаляет файлы, которые сам же создал
- %TEMP%\msdia_0000041c\000e3525.tmp
- %TEMP%\msdia_0000041c\000ee962.tmp
- %TEMP%\msdia_0000041c\000f2ce3.tmp
- %TEMP%\msdia_0000041c\000fb3d6.tmp
Сетевая активность
Подключается к
- 'ca####gshops.info':443
- 'x1.#.lencr.org':80
TCP
Запросы HTTP GET
Другие
- 'ca####gshops.info':443
UDP
- DNS ASK ca####gshops.info
- DNS ASK x1.#.lencr.org
- DNS ASK time.google.com
- 'time.google.com':123
Другое
Запускает на исполнение
- '<SYSTEM32>\dllhost.exe' (со скрытым окном)
