Техническая информация
Вредоносные функции
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\evbac50.tmp
- %TEMP%\evbf080.tmp
- %TEMP%\tvci2hu3dsm\files\steam\config.vdf
- %TEMP%\tvci2hu3dsm\screen.jpg
- %TEMP%\tvci2hu3dsm\systeminfo.txt
- %TEMP%\tt313pwp.q2p
- %TEMP%\3ejspyhr.zwr
- %TEMP%\tpmnavs5.lor
- %TEMP%\hyabwn0t.foq
- %TEMP%\pxti4rpk.jc3
- %TEMP%\zoctrxa5.vob
- %TEMP%\tvci2hu3dsm\browsers\cookies.txt
- %TEMP%\ehlbkdwk.5sb
- %TEMP%\evbec0b.tmp
- %TEMP%\upv1dy4n.cbz
- %TEMP%\evbac51.tmp
- %TEMP%\evbf081.tmp
- %TEMP%\95.211.190.199.netherlands.amsterdam
Удаляет следующие файлы
- %TEMP%\tvci2hu3dsm\browsers\cookies.txt
- %TEMP%\tvci2hu3dsm\files\steam\config.vdf
- %TEMP%\tvci2hu3dsm\screen.jpg
- %TEMP%\tvci2hu3dsm\systeminfo.txt
- %TEMP%\95.211.190.199.netherlands.amsterdam
Самоудаляется.
Сетевая активность
Подключается к
- 'bo#####tell.zzz.com.ua':80
TCP
Запросы HTTP GET
- http://ap#.#pify.org/
- http://ip##pi.com/line/95.211.190.199?fi############
- http://ip##pi.com/line/95.211.190.199?fi#########
Запросы HTTP POST
- http://bo#####tell.zzz.com.ua/report.php
UDP
- DNS ASK ap#.#pify.org
- DNS ASK ip##pi.com
- DNS ASK bo#####tell.zzz.com.ua
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C timeout /T 5 & choice /C Y /N /D Y /T 3 & Del "<Полный путь к файлу>" & Del "<Текущая директория>\sqlite3*" & Del "<Текущая директория>\ConsoleApp*" & Del "<Текущая директория>\ICSharpCode*"
- '%WINDIR%\syswow64\timeout.exe' /T 5
- '%WINDIR%\syswow64\choice.exe' /C Y /N /D Y /T 3
