Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\Explorer.lnk
Изменения в файловой системе:
Создает следующие файлы:
- C:\ProgramData\Windows\csrs.exe
- C:\ProgramData\Windows\config.json
- C:\ProgramData\Windows\start.bat
- C:\ProgramData\Windows\svchost.vbs
- C:\ProgramData\Windows\start.cmd
- %TEMP%\$inst\temp_0.tmp
- C:\ProgramData\Windows\Setup1.exe
- C:\ProgramData\Windows\1.exe
- %TEMP%\1.tmp\1.bat
- %TEMP%\$inst\2.tmp
- C:\ProgramData\Windows\Setup.exe
Удаляет следующие файлы:
- %TEMP%\1.tmp\1.bat
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
Сетевая активность:
Подключается к:
- 'xm#####.nanopool.org':14444
UDP:
- DNS ASK xm#####.nanopool.org
Другое:
Ищет следующие окна:
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "C:\ProgramData\Windows\svchost.vbs"
- 'C:\ProgramData\Windows\csrs.exe' -o stratum+tcp://xmr-eu1.nanopool.org:14444 -u 45zFprLz1KjgL4P5SzqQ1JAFLWMmhE7Vs72nF4GNt6YcEzYh1GR7SdTB3zWjzgV2Q28T4buCLDwhsiGFL59qgx1tGjvsiCR.5 -p x --donate-level=1 -t 2 -k --av=1 --config=c...
- 'C:\ProgramData\Windows\Setup.exe'
- 'C:\ProgramData\Windows\1.exe'
- 'C:\ProgramData\Windows\Setup1.exe' -p123 -dc:\ProgramData\Windows
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\1.bat" "C:\ProgramData\Windows\1.exe""
