Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- msedge.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\etilqs_zxbuxbnhchgfvoz
Сетевая активность
Подключается к
- 'st####ommunity.com':443
- 'lu###sis.shop':80
TCP
Запросы HTTP GET
Запросы HTTP POST
- http://lu###sis.shop/487001d8f40ea40c608c77f78cea7a1b/ejk52zwt2js16ro
- http://lu###sis.shop/487001d8f40ea40c608c77f78cea7a1b/y74habwtyvsxarw
- http://lu###sis.shop/487001d8f40ea40c608c77f78cea7a1b/yfw9qbsdezwxmzs
- http://lu###sis.shop/487001d8f40ea40c608c77f78cea7a1b/2vk56j8h27whyzg
- http://lu###sis.shop/487001d8f40ea40c608c77f78cea7a1b/ijclyfwd2nsl6fw
- http://lu###sis.shop/487001d8f40ea40c608c77f78cea7a1b/a7k56jotufo5ab4
Другие
- 'st####ommunity.com':443
UDP
- DNS ASK st####ommunity.com
- DNS ASK lu###sis.shop
- DNS ASK google.com
Другое
Ищет следующие окна
- ClassName: 'Chrome_MessageWindow' WindowName: '%LOCALAPPDATA%\Google\Chrome\User Data'
Запускает на исполнение
- '%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe' --no-first-run --log-level=3 --headless=new (со скрытым окном)
- '%LOCALAPPDATA%\google\chrome\application\chrome.exe' --no-first-run --log-level=3 --headless=new (со скрытым окном)
