Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\WinHelps] 'ImagePath' = '%APPDATA%\xmrig\svchost.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\WinHelps] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\Temp\svchsot.exe' -o stratum+tcp://pool.minexmr.com:7777 -u 49LnoCtqSdC4vtgXDBvMkTEUnwsX7BNNNQQh3qgRL1z2aHrwx1JfyGH8qwUkbVBLvo5Nk66XYnKJVXbwrc79v7ErQ94B8oA -p x -k
- '%APPDATA%\xmrig\svchost.exe'
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' -n 5 127.0.0.1
- '<SYSTEM32>\cmd.exe' /c @ping -n 5 127.0.0.1&del <Полный путь к файлу> > nul
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Temp\svchsot.exe
- %APPDATA%\xmrig\svchost.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\xmrig\svchost.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'po##.#inexmr.com':7777
UDP:
- DNS ASK po##.#inexmr.com
