Technical Information
Malicious functions
Reads files which store third party applications passwords
- %ProgramFiles(x86)%\steam\config\config.vdf
- %ProgramFiles(x86)%\steam\config\dialogconfig.vdf
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Modifies file system
Creates the following files
- %TEMP%\tmp3497.tmp
- %TEMP%\tmp3750.tmp
- %TEMP%\tmp374f.tmp
- %TEMP%\tmp374e.tmp
- %TEMP%\tmp373d.tmp
- %TEMP%\tmp373c.tmp
- %TEMP%\tmp373b.tmp
- %TEMP%\tmp372b.tmp
- %TEMP%\tmp36fb.tmp
- %TEMP%\tmp36fa.tmp
- %TEMP%\tmp36f9.tmp
- %TEMP%\tmp36e8.tmp
- %TEMP%\tmp36e7.tmp
- %TEMP%\tmp36e6.tmp
- %TEMP%\tmp36d6.tmp
- %TEMP%\tmp36d5.tmp
- %TEMP%\tmp36d4.tmp
- %TEMP%\tmp36c3.tmp
- %TEMP%\tmp36c2.tmp
- %TEMP%\tmp36b1.tmp
- %TEMP%\tmp36b0.tmp
- %TEMP%\tmp36af.tmp
- %TEMP%\tmp369e.tmp
- %TEMP%\tmp369f.tmp
- %TEMP%\tmp3760.tmp
- %TEMP%\tmp3761.tmp
- %TEMP%\tmp3804.tmp
- %TEMP%\tmp37e4.tmp
- %TEMP%\tmp37d3.tmp
- %TEMP%\tmp37d2.tmp
- %TEMP%\tmp37d1.tmp
- %TEMP%\tmp37c0.tmp
- %TEMP%\tmp37bf.tmp
- %TEMP%\tmp37be.tmp
- %TEMP%\tmp37ae.tmp
- %TEMP%\tmp37ad.tmp
- %TEMP%\tmp379b.tmp
- %TEMP%\tmp3631.tmp
- %TEMP%\tmp379a.tmp
- %TEMP%\tmp3799.tmp
- %TEMP%\tmp3789.tmp
- %TEMP%\tmp3788.tmp
- %TEMP%\tmp3787.tmp
- %TEMP%\tmp3776.tmp
- %TEMP%\tmp3775.tmp
- %TEMP%\tmp3774.tmp
- %TEMP%\tmp3763.tmp
- %TEMP%\tmp3762.tmp
- %TEMP%\tmp369d.tmp
- %TEMP%\tmp369c.tmp
- %TEMP%\tmp368b.tmp
- %TEMP%\tmp35b4.tmp
- %TEMP%\tmp35a3.tmp
- %TEMP%\tmp3593.tmp
- %TEMP%\tmp3592.tmp
- %TEMP%\tmp3581.tmp
- %TEMP%\tmp3571.tmp
- %TEMP%\tmp3570.tmp
- %TEMP%\tmp355f.tmp
- %TEMP%\tmp354e.tmp
- %TEMP%\tmp353e.tmp
- %TEMP%\tmp353d.tmp
- %TEMP%\tmp353c.tmp
- %TEMP%\tmp352b.tmp
- %TEMP%\tmp352a.tmp
- %TEMP%\tmp351a.tmp
- %TEMP%\tmp3519.tmp
- %TEMP%\tmp3508.tmp
- %TEMP%\tmp34f7.tmp
- %TEMP%\tmp34f6.tmp
- %TEMP%\tmp34a7.tmp
- %TEMP%\tmp35c6.tmp
- %TEMP%\tmp35d6.tmp
- %TEMP%\tmp35c5.tmp
- %TEMP%\tmp35d7.tmp
- %TEMP%\tmp368a.tmp
- %TEMP%\tmp35e8.tmp
- %TEMP%\tmp367a.tmp
- %TEMP%\tmp3679.tmp
- %TEMP%\tmp3668.tmp
- %TEMP%\tmp3667.tmp
- %TEMP%\tmp3656.tmp
- %TEMP%\tmp3655.tmp
- %TEMP%\tmp3654.tmp
- %TEMP%\tmp3644.tmp
- %TEMP%\tmp3643.tmp
- %TEMP%\tmp37ac.tmp
- %TEMP%\tmp3824.tmp
- %TEMP%\tmp3630.tmp
- %TEMP%\tmp3620.tmp
- %TEMP%\tmp361f.tmp
- %TEMP%\tmp360e.tmp
- %TEMP%\tmp360d.tmp
- %TEMP%\tmp360c.tmp
- %TEMP%\tmp35fb.tmp
- %TEMP%\tmp35fa.tmp
- %TEMP%\tmp35f9.tmp
- %TEMP%\tmp35e9.tmp
- %TEMP%\tmp3642.tmp
- %TEMP%\tmp3835.tmp
Deletes the following files
- %TEMP%\tmp34a7.tmp
- %TEMP%\tmp36d5.tmp
- %TEMP%\tmp36e6.tmp
- %TEMP%\tmp36e8.tmp
- %TEMP%\tmp36fa.tmp
- %TEMP%\tmp372b.tmp
- %TEMP%\tmp373c.tmp
- %TEMP%\tmp374e.tmp
- %TEMP%\tmp3750.tmp
- %TEMP%\tmp3761.tmp
- %TEMP%\tmp36b1.tmp
- %TEMP%\tmp36c3.tmp
- %TEMP%\tmp3763.tmp
- %TEMP%\tmp3789.tmp
- %TEMP%\tmp379a.tmp
- %TEMP%\tmp37ac.tmp
- %TEMP%\tmp37ae.tmp
- %TEMP%\tmp37bf.tmp
- %TEMP%\tmp37d1.tmp
- %TEMP%\tmp37d3.tmp
- %TEMP%\tmp37e4.tmp
- %TEMP%\tmp3804.tmp
- %TEMP%\tmp3775.tmp
- %TEMP%\tmp3787.tmp
- %TEMP%\tmp36af.tmp
- %TEMP%\tmp369e.tmp
- %TEMP%\tmp369c.tmp
- %TEMP%\tmp3519.tmp
- %TEMP%\tmp352a.tmp
- %TEMP%\tmp353c.tmp
- %TEMP%\tmp353e.tmp
- %TEMP%\tmp355f.tmp
- %TEMP%\tmp3571.tmp
- %TEMP%\tmp3592.tmp
- %TEMP%\tmp35a3.tmp
- %TEMP%\tmp35c5.tmp
- %TEMP%\tmp35d6.tmp
- %TEMP%\tmp34f7.tmp
- %TEMP%\tmp35e8.tmp
- %TEMP%\tmp35fb.tmp
- %TEMP%\tmp360d.tmp
- %TEMP%\tmp361f.tmp
- %TEMP%\tmp3630.tmp
- %TEMP%\tmp3642.tmp
- %TEMP%\tmp3644.tmp
- %TEMP%\tmp3655.tmp
- %TEMP%\tmp3667.tmp
- %TEMP%\tmp3679.tmp
- %TEMP%\tmp368a.tmp
- %TEMP%\tmp35f9.tmp
- %TEMP%\tmp3824.tmp
- %TEMP%\tmp3835.tmp
Network activity
Connects to
- '93.##4.128.57':35253
TCP
HTTP GET requests
- http://ch#####.amazonaws.com/
- http://www.ge###ugin.net/json.gp?ip###############
UDP
- DNS ASK ap#.ip.sb
- DNS ASK ch#####.amazonaws.com
- DNS ASK wh###.iana.org
- DNS ASK WH###.RIPE.NET
- DNS ASK ge###ugin.net
Miscellaneous
Executes the following
- '%WINDIR%\syswow64\cmd.exe' /C ping 127.0.0.1 -n 3 > nul &del ""
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 3
