Распространяется среди тех, кто интересуется майнерами криптовалют. Имеет действительную цифровую подпись. Вместе с установкой программа скачивает и компилирует исходный код с помощью .Net framework. После чего, используя скомпилированный код, загружает Trojan.PWS.Stealer.24943. Разработчики троянца также используют 2n****.co для сбора статистики по количеству установок.
Техническая информация
Для обеспечения автозапуска и распространения модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '2themoon' = '<Полный путь к файлу>'
Сетевая активность
Подключается к:
- '2n****.co':443
- 'coin****.io':80
- 'coin****.io':443
- 'raw.githubuserco****.com':443
TCP:
Запросы HTTP GET:
- http://coin****.io/front
UDP:
- DNS ASK 2n****.co
- DNS ASK coin****.io
- DNS ASK raw.githubuserco****.com
Дополнительно
Создает и запускает на исполнение:
- '<SYSTEM32>\wisptis.exe' /ManualLaunch;' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\u1t33wpc.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES948F.tmp" "%TEMP%\CSC3F93840EDD39419F8C70B8765AAF94.TMP"' (со скрытым окном)
Запускает на исполнение:
- '<SYSTEM32>\wisptis.exe' /ManualLaunch;
- '%WINDIR%\microsoft.net\framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\u1t33wpc.cmdline"
- '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES948F.tmp" "%TEMP%\CSC3F93840EDD39419F8C70B8765AAF94.TMP"
