Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\runtimebroker.exe
следующие пользовательские процессы:
- chrome.exe
- msedge.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\Martin Prikryl\WinSCP 2\Sessions]
- [HKCU\Software\SimonTatham\PuTTY\Sessions]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %HOMEPATH%\desktop\cveuropeo.doc
- %HOMEPATH%\desktop\february_catalogue__2015.doc
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\microsoft\edge\application\89.0.774.68\chrome_debug.log
Сетевая активность
Подключается к
- 'pa###bin.com':443
- '19#.#7.198.205':5173
TCP
Другие
- 'ap#.#pify.org':443
- '19#.#7.198.205':5173
UDP
- DNS ASK pa###bin.com
- DNS ASK ap#.#pify.org
Другое
Запускает на исполнение
- '<SYSTEM32>\runtimebroker.exe'
- '%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe' --headless --disable-gpu --no-sandbox --disable-dev-shm-usage
- '<SYSTEM32>\netsh.exe' wlan show profiles (со скрытым окном)
