Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows Update' = '%APPDATA%\RegSrvc32.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %APPDATA%\RegSrvc.exe
- %APPDATA%\RegSrvc32.exe
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c ""%TEMP%\72612.bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\18871.bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\81148.bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\47254.bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\12438.bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\17178.bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1111.bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\76486.bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\87507.bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\31603.bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\13522.bat" "
Внедряет код в
следующие системные процессы:
- Idle
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\31603.bat
- %TEMP%\17178.bat
- %TEMP%\13522.bat
- %TEMP%\87507.bat
- %APPDATA%\RegSrvc.exe
- %TEMP%\12438.bat
- %TEMP%\47254.bat
- %TEMP%\81148.bat
- %TEMP%\18871.bat
- %TEMP%\72612.bat
- %APPDATA%\phatk.ptx
- %APPDATA%\coinutil.dll
- %APPDATA%\RegSrvc32.exe
- %TEMP%\76486.bat
- %TEMP%\1111.bat
- %APPDATA%\phatk.cl
- %APPDATA%\btc.il
- %APPDATA%\btc-evergreen.il
- %APPDATA%\miner.dll
- %APPDATA%\usft_ext.dll
Удаляет следующие файлы:
- %APPDATA%\RegSrvc.exe
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
