Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'l' = '"%APPDATA%\9 8\l3.lnk"'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\cwcwer.lnk
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\9 8\svchost.exe' "-o" "http://50###.com:8332" "-u" "vladiny37@yahoo.com" "-p" "123456"
- '%APPDATA%\9 8\j.exe' "%APPDATA%\9 8\svchost.exe" -o http://50###.com:8332 -u vladiny37@yahoo.com -p 123456
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add HKLM\software\microsoft\windows\currentversion\run /v l /d "\"%APPDATA%\9 8\l3.lnk\"" /f
- '<SYSTEM32>\taskkill.exe' /im svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\9 8\OpenCL.dll
- %APPDATA%\9 8\phatk120213.cl
- %APPDATA%\9 8\NEWS.txt
- %APPDATA%\9 8\linux-usb-cgminer.txt
- %APPDATA%\9 8\miner.php
- %APPDATA%\9 8\poclbm120214.cl
- %APPDATA%\9 8\svchost.exe
- %APPDATA%\9 8\tk.lnk
- %APPDATA%\9 8\README.txt
- %APPDATA%\9 8\pthreadGC2.dll
- %APPDATA%\9 8\r.lnk
- %APPDATA%\9 8\libpdcurses.dll
- %APPDATA%\9 8\API.java
- %APPDATA%\9 8\AUTHORS.txt
- %APPDATA%\9 8\API.class
- %APPDATA%\9 8\api-example.c
- %APPDATA%\9 8\api-example.php
- %APPDATA%\9 8\ChangeLog.txt
- %APPDATA%\9 8\l3.lnk
- %APPDATA%\9 8\libcurl-4.dll
- %APPDATA%\9 8\j.exe
- %APPDATA%\9 8\COPYING.txt
- %APPDATA%\9 8\example.conf
Сетевая активность:
Подключается к:
- '50##c.com':8332
UDP:
- DNS ASK 50##c.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
