Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\aspnet_service] 'ImagePath' = '"C:\ProgramData\Windows\svchost.exe"'
- [<HKLM>\SYSTEM\ControlSet001\Services\aspnet_service] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\ProgramData\Windows\svchost.exe'
- 'C:\ProgramData\Windows\csrs.exe' -o stratum+tcp://xmr.pool.minergate.com:45560 -u maykolin1234@aol.com -p x -t 1
- '%TEMP%\is-IV37E.tmp\P.A.M.E.L.Asetup.tmp' /SL5="$10108,623384,323584,<Текущая директория>\P.A.M.E.L.Asetup.exe"
- '<Текущая директория>\P.A.M.E.L.Asetup.exe'
- '<Текущая директория>\data.exe'
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' start aspnet_service
- '<SYSTEM32>\net.exe' start aspnet_service
- '%WINDIR%\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe' C:\ProgramData\Windows\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\InstallUtil.InstallLog
- C:\ProgramData\Windows\csrs.exe
- C:\ProgramData\Windows\svchost.InstallLog
- C:\ProgramData\Windows\1502593162_log.txt
- C:\ProgramData\Windows\svchost.InstallState
- C:\ProgramData\Windows\svchost.exe.config
- <Текущая директория>\data.exe.config
- <Текущая директория>\data.exe
- <Текущая директория>\P.A.M.E.L.Asetup.exe
- C:\ProgramData\Windows\svchost.exe
- %TEMP%\is-IV37E.tmp\P.A.M.E.L.Asetup.tmp
Сетевая активность:
Подключается к:
- 'xm#.###l.minergate.com':45560
UDP:
- DNS ASK xm#.###l.minergate.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
