Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
следующие пользовательские процессы:
- chrome.exe
- msedge.exe
Патчит код
в динамической библиотеке NTDLL
- Процесс euemfk.exe, модуль ntdll.dll
- Процесс svchost.exe, модуль ntdll.dll
- Процесс msedge.exe, модуль ntdll.dll
Сетевая активность
Подключается к
- 'br####tpopito.fun':443
TCP
Другие
- 'br####tpopito.fun':443
UDP
- DNS ASK br####tpopito.fun
Другое
Запускает на исполнение
- '<SYSTEM32>\svchost.exe' -k NetworkService --no-first-run --no-default-browser-check --no-startup-window (со скрытым окном)
- '%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe' --browser=edge --no-first-run --no-default-browser-check --no-startup-window (со скрытым окном)
- '%LOCALAPPDATA%\google\chrome\application\chrome.exe' --browser=chrome --no-first-run --no-default-browser-check --no-startup-window (со скрытым окном)
