Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- msedge.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %HOMEPATH%\desktop\508softwareandos.doc
- %HOMEPATH%\desktop\contoso.cer
- %HOMEPATH%\desktop\dashborder_120.bmp
- %HOMEPATH%\desktop\dashborder_192.bmp
- %HOMEPATH%\desktop\dashborder_96.bmp
- %HOMEPATH%\desktop\dial.bmp
- %HOMEPATH%\desktop\dialmap.bmp
- %HOMEPATH%\desktop\join.avi
- %HOMEPATH%\desktop\pmd.cer
- %HOMEPATH%\desktop\testee.cer
- %APPDATA%\mozilla\firefox\profiles.ini
- %APPDATA%\opera software\opera stable\login data
- %APPDATA%\thunderbird\profiles.ini
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\windowsupdate_2976.exe
- %TEMP%\log.txt
- %TEMP%\pwd_2872.db
- %TEMP%\tmp422.tmp
Удаляет файлы, которые сам же создал
- %TEMP%\windowsupdate_2976.exe
- %TEMP%\tmp422.tmp
Изменяет следующие файлы
Сетевая активность
Подключается к
- 't.#e':443
- 'ap#.####dflareclient.com':443
- 'ia###ubyag.ru':8880
TCP
Запросы HTTP POST
- /fa3c16365fd0d67f6035f379df7a375ebe1aa51e99a2dde0db92c906ed003a70 via ia###ubyag.ru
Другие
- 'ap#.####dflareclient.com':443
- 'ia###ubyag.ru':8880
UDP
- DNS ASK t.#e
- DNS ASK ap#.####dflareclient.com
- DNS ASK ia###ubyag.ru
Другое
Создает и запускает на исполнение
- '%TEMP%\windowsupdate_2976.exe'
Запускает на исполнение
- '%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe'
- '%TEMP%\windowsupdate_2976.exe' (со скрытым окном)
