Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %HOMEPATH%\desktop\dashborder_120.bmp
- %HOMEPATH%\desktop\default.bmp
- %HOMEPATH%\desktop\dial.bmp
- %HOMEPATH%\desktop\toolbar.bmp
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\st_id0fjwpzpjq\info.txt
- %TEMP%\st_id0fjwpzpjq\screen.png
- %TEMP%\st_id0fjwpzpjq\f0.bmp
- %TEMP%\st_id0fjwpzpjq\f1.bmp
- %TEMP%\st_id0fjwpzpjq\f2.bmp
- %TEMP%\st_id0fjwpzpjq\f3.bmp
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
Удаляет файлы, которые сам же создал
- %TEMP%\st_id0fjwpzpjq\f0.bmp
- %TEMP%\st_id0fjwpzpjq\f1.bmp
- %TEMP%\st_id0fjwpzpjq\f2.bmp
- %TEMP%\st_id0fjwpzpjq\f3.bmp
- %TEMP%\st_id0fjwpzpjq\info.txt
- %TEMP%\st_id0fjwpzpjq\screen.png
Сетевая активность
Подключается к
- 'di##ord.com':443
TCP
Другие
- 'di##ord.com':443
UDP
- DNS ASK di##ord.com
Другое
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' wlan show profiles
- '<SYSTEM32>\tasklist.exe'
