Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\ .lnk
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\unrar.vbs
- %TEMP%\RarSFX0\unrar.bat
- %TEMP%\RarSFX0\unrar.exe
- %TEMP%\RarSFX1\packet.exe
- %ProgramFiles%\Logs\1.vbs
- %ProgramFiles%\Logs\csrs.exe
- %ProgramFiles%\Logs\start.bat
- %ProgramFiles%\Logs\svchost.vbs
- %ProgramFiles%\Logs\1.ico
Удаляет следующие файлы:
- %TEMP%\RarSFX1\packet.exe
- %TEMP%\RarSFX0\unrar.bat
- %TEMP%\RarSFX0\unrar.exe
- %TEMP%\RarSFX0\unrar.vbs
Сетевая активность:
Подключается к:
- 'xm#.###l.minergate.com':45700
UDP:
- DNS ASK xm#.###l.minergate.com
Другое:
Ищет следующие окна:
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "%TEMP%\RarSFX0\unrar.vbs"
- '%TEMP%\RarSFX0\unrar.exe' -p1 -d%HOMEPATH%\Local Settings\Temp
- '%TEMP%\RarSFX1\packet.exe'
- '<SYSTEM32>\wscript.exe' "%ProgramFiles%\Logs\1.vbs"
- '<SYSTEM32>\wscript.exe' "%ProgramFiles%\Logs\svchost.vbs"
- '%ProgramFiles%\Logs\csrs.exe' -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45700 -u boriabloger@gmail.com -p x -t 1
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\RarSFX0\unrar.bat" "
- '<SYSTEM32>\cmd.exe' /c ""%ProgramFiles%\Logs\start.bat" "
