Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\module[1].exe
- C:\ProgramData\libvorbisenc-9.9\api-ms-win-core-string-66-1-0.exe
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\U98D4X8H\xmrigX32[1].exe
- C:\ProgramData\libvorbisenc-9.9\gmodule-1.1.exe
- C:\ProgramData\libvorbisenc-9.9\config.json
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\ProgramData\libvorbisenc-9.9\gthread-9.9.exe
- C:\ProgramData\libvorbisenc-9.9\gmodule-1.1.exe
- C:\ProgramData\libvorbisenc-9.9\config.json
Удаляет следующие файлы:
- C:\ProgramData\libvorbisenc-9.9\config.json
Перемещает следующие файлы:
- <Полный путь к файлу> в C:\ProgramData\libvorbisenc-9.9\gthread-9.9.exe
Сетевая активность:
Подключается к:
- 'ip###ger.com':443
- 'te###.mcdir.ru':80
TCP:
Запросы HTTP GET:
- http://te###.mcdir.ru/xmrigX32.exe
- http://te###.mcdir.ru/module.exe
UDP:
- DNS ASK ip###ger.com
- DNS ASK te###.mcdir.ru
Другое:
Создает и запускает на исполнение:
- 'C:\ProgramData\libvorbisenc-9.9\gthread-9.9.exe'
- 'C:\ProgramData\libvorbisenc-9.9\api-ms-win-core-string-66-1-0.exe'
- 'C:\ProgramData\libvorbisenc-9.9\gmodule-1.1.exe'
Запускает на исполнение:
- '<SYSTEM32>\schtasks.exe' /create /tn "\Windows\Services Manager\gthread-9.9" /tr "C:\ProgramData\libvorbisenc-9.9\gthread-9.9.exe" /st 00:00 /sc once /du 9999:59 /ri 1 /f
