Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\extensions
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\microsoft\extensions\extensions.exe
- %TEMP%\chrome_login_temp_904421.db
- %TEMP%\chrome_cookies_temp_904968.db
- %TEMP%\chrome_history_temp_905421.db
- %TEMP%\chrome_downloads_temp_905453.db
- %TEMP%\chrome_webdata_temp_905468.db
- %TEMP%\chrome_login_temp_905578.db
- %TEMP%\chrome_history_temp_905578.db
- %TEMP%\chrome_downloads_temp_905578.db
- %TEMP%\chrome_webdata_temp_905578.db
Удаляет файлы, которые сам же создал
- %TEMP%\chrome_login_temp_904421.db
- %TEMP%\chrome_cookies_temp_904968.db
- %TEMP%\chrome_history_temp_905421.db
- %TEMP%\chrome_downloads_temp_905453.db
- %TEMP%\chrome_webdata_temp_905468.db
- %TEMP%\chrome_login_temp_905578.db
- %TEMP%\chrome_history_temp_905578.db
- %TEMP%\chrome_downloads_temp_905578.db
- %TEMP%\chrome_webdata_temp_905578.db
Сетевая активность
Подключается к
- '1.#.1.1':443
- 'ap#.##legram.org':443
UDP
- DNS ASK ap#.##legram.org
Другое
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /tn "Extensions" /tr "%ALLUSERSPROFILE%\Microsoft\Extensions\Extensions.exe" /sc onlogon /rl highest /f
