Техническая информация
Вредоносные функции
Патчит код
в динамической библиотеке NTDLL
- Процесс fvuvu.exe, модуль ntdll.dll
Перехватывает управление с помощью отладочных регистров
в динамической библиотеке NTDLL
- Процесс fvuvu.exe, модуль ntdll.dll
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\Martin Prikryl\WinSCP 2\Sessions]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %APPDATA%\thunderbird\profiles.ini
- %APPDATA%\mozilla\firefox\profiles.ini
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
Отключает AMSI.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rat2026_steal_2168\system\system_info.json
- %TEMP%\rat_login.tmp
- %TEMP%\rat_cookies.tmp
- %TEMP%\rat_webdata.tmp
- %TEMP%\rat2026_steal_2168\browsers\browsers.json
- %TEMP%\rat2026_steal_2168\email\accounts.txt
- %TEMP%\rat2026_logs_2168.zip
- %TEMP%\rat2026_keylog.txt
Удаляет файлы, которые сам же создал
- %TEMP%\rat_login.tmp
- %TEMP%\rat_cookies.tmp
- %TEMP%\rat_webdata.tmp
- %TEMP%\rat2026_logs_2168.zip
Подменяет следующие файлы
- %TEMP%\rat_login.tmp
- %TEMP%\rat_webdata.tmp
Сетевая активность
Подключается к
- 'localhost':8444
