Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdater' = 'c:\XMR\start\xm8686.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "C:\XMR\Coin2\run.vbs"
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c c:\XMR\Coin2\\start.bat
- 'C:\XMR\Coin2\xm86.exe' -a cryptonight -t 3 -o stratum+tcp://xmr.pool.minergate.com:45560 -u no0dead@gmail.com -p x --donate-level 1
- '<SYSTEM32>\cmd.exe' /c c:\XMR\start\\start2.bat
- 'C:\XMR\start\xm8686.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\aut4.tmp
- C:\XMR\Coin2\xm86.exe
- C:\XMR\Coin2\start.bat
- C:\XMR\Coin2\run.vbs
- %TEMP%\aut5.tmp
- C:\XMR\start\xm8686.exe
- %TEMP%\aut1.tmp
- %TEMP%\aut2.tmp
- %TEMP%\aut3.tmp
- C:\XMR\start\start2.bat
Удаляет следующие файлы:
- %TEMP%\aut4.tmp
- %TEMP%\aut5.tmp
- %TEMP%\aut3.tmp
- %TEMP%\aut1.tmp
- %TEMP%\aut2.tmp
Сетевая активность:
Подключается к:
- 'xm#.###l.minergate.com':45560
UDP:
- DNS ASK xm#.###l.minergate.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
