VBS.DownLoader.581

Техническая информация

Для обеспечения автозапуска и распространения

Модифицирует следующие ключи реестра

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = '%APPDATA%\NsMiner\IMG001.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '' = '%APPDATA%\NsMiner\IMG001.exe'

Создает или изменяет следующие файлы

%APPDATA%\microsoft\windows\start menu\programs\startup\run.lnk
%WINDIR%\tasks\uac.job
<SYSTEM32>\tasks\uac

Создает следующие файлы на съемном носителе

<Имя диска съемного носителя>:\img001.exe

Вредоносные функции

Запускает на исполнение

'<SYSTEM32>\taskkill.exe' /f /im tftp.exe

Изменения в файловой системе

Создает следующие файлы

%TEMP%\info.zip
%TEMP%\tftp.exe
%APPDATA%\nsminer\img001.exe
%APPDATA%\nsminer\nscpucnminer32.exe
%APPDATA%\nsminer\nscpucnminer64.exe
%APPDATA%\nsminer\pools.txt
C:\img001.exe
D:\img001.exe

Удаляет следующие файлы

%WINDIR%\tasks\uac.job

Сетевая активность

Подключается к

'11#.1.21.4':21
'20#.#09.63.5':21
'14#.#05.117.5':21
'8.##1.126.5':21
'13#.#61.149.5':21
'18#.#5.172.5':21
'18#.#52.87.5':21
'72.#13.10.5':21
'16#.#1.124.5':21
'99.#97.52.5':21
'14.##2.205.5':21
'15#.#07.194.5':21
'12#.#54.211.5':21
'11#.66.11.5':21
'23#.#43.169.5':21
'86.##1.211.5':21
'12#.1.156.5':21
'11.#3.12.5':21
'23#.#2.111.5':21
'12#.#45.80.5':21
'50.##4.133.5':21
'15#.#3.155.5':21
'33.#5.78.5':21
'11#.#21.36.5':21
'24#.#7.132.5':21
'87.#44.89.5':21
'40.##7.152.5':21
'13#.#03.150.5':21
'90.#.235.5':21
'69.#2.236.5':21
'79.##8.241.5':21
'19#.#50.23.5':21
'52.##8.158.5':21
'17#.#0.195.5':21
'14#.#09.57.5':21
'10#.#02.216.5':21
'74.#.206.5':21
'22#.208.7.5':21
'13.#9.238.5':21
'19#.94.11.5':21
'36.#53.96.5':21
'11#.#02.158.5':21
'13#.#13.197.5':21
'12#.#83.179.5':21
'13#.#25.190.5':21
'18#.#4.229.5':21
'80.#12.48.5':21
'24#.#02.226.5':21
'44.##8.210.5':21
'23#.#9.226.5':21
'85.#7.57.5':21
'36.#18.65.5':21
'34.#3.229.5':21
'95.#92.94.5':21
'22#.#38.213.5':21
'25#.#00.149.5':21
'90.#71.89.5':21
'18#.#33.221.5':21
'57.#7.80.5':21
'11#.30.45.5':21
'42.#50.48.5':21
'59.#2.81.5':21
'12#.#13.77.5':21
'17#.#6.221.5':21
'56.#44.37.5':21
'19#.189.2.5':21
'17.#.194.5':21
'11#.#1.240.4':21
'20.#5.62.4':21
'11#.#30.68.4':21
'80.#88.14.4':21
'63.#8.225.4':21
'18#.#6.209.5':21
'23#.#46.142.4':21
'12#.#3.102.4':21
'21#.#4.124.4':21
'11#.#5.131.4':21
'25#.#25.65.4':21
'12#.#8.163.4':21
'16.#33.79.4':21
'10#.#22.177.4':21
'18#.#96.179.4':21
'21#.#12.246.4':21
'24#.#33.133.4':21
'52.#0.21.4':21
'15#.#33.60.4':21
'10.#2.183.4':21
'21#.#98.95.5':21
'21#.70.67.5':21
'22#.#4.120.5':21
'19#.60.5.5':21
'22#.#9.136.5':21
'13#.#41.74.5':21
'86.#1.249.5':21
'13#.63.89.5':21
'16#.#31.55.5':21
'1.##9.142.5':21
'20#.#45.184.5':21
'76.#4.149.5':21
'61.#65.55.5':21
'99.#3.173.5':21
'58.#39.94.5':21
'86.##7.250.5':21
'34.##5.168.5':21
'22.#.54.5':21
'24#.#12.239.5':21
'34.#7.10.5':21
'39.#38.92.5':21
'18.#1.143.5':21
'68.#2.102.5':21
'22#.#79.96.5':21
'22#.#00.191.5':21
'38.#.218.5':21
'87.#2.11.5':21
'11#.#43.70.5':21
'82.#3.154.5':21
'13#.#08.57.5':21
'5.##7.119.5':21
'23#.#2.153.5':21
'12#.#45.165.5':21

Другое

Ищет следующие окна

ClassName: '' WindowName: ''

Создает и запускает на исполнение

'%TEMP%\tftp.exe'
'%APPDATA%\nsminer\img001.exe'
'<SYSTEM32>\cmd.exe' /c taskkill /f /im tftp.exe & tskill tftp.exe' (со скрытым окном)
'%TEMP%\tftp.exe' ' (со скрытым окном)
'%APPDATA%\nsminer\img001.exe' ' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "" /d "%APPDATA%\NsMiner\IMG001.exe" /t REG_SZ' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c schtasks /create /tn "UAC" /SC ONLOGON /F /RL HIGHEST /TR "%APPDATA%\NsMiner\IMG001.exe"' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c schtasks /create /tn "UAC" /RU "SYSTEM" /SC ONLOGON /F /V1 /RL HIGHEST /TR "%APPDATA%\NsMiner\IMG001.exe"' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c powercfg /CHANGE -standby-timeout-ac 0 & powercfg /CHANGE -hibernate-timeout-ac 0 & Powercfg -SetAcValueIndex 381b4222-f694-41f0-9685-ff5bb260df2e 4f971e89-eebd-4455-a8de-9e59040e7347 5ca833...' (со скрытым окном)

Запускает на исполнение

'<SYSTEM32>\cmd.exe' /c taskkill /f /im tftp.exe & tskill tftp.exe
'<SYSTEM32>\tskill.exe' tftp.exe
'<SYSTEM32>\cmd.exe' /c reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "" /d "%APPDATA%\NsMiner\IMG001.exe" /t REG_SZ
'<SYSTEM32>\cmd.exe' /c schtasks /create /tn "UAC" /SC ONLOGON /F /RL HIGHEST /TR "%APPDATA%\NsMiner\IMG001.exe"
'<SYSTEM32>\cmd.exe' /c schtasks /create /tn "UAC" /RU "SYSTEM" /SC ONLOGON /F /V1 /RL HIGHEST /TR "%APPDATA%\NsMiner\IMG001.exe"
'<SYSTEM32>\cmd.exe' /c powercfg /CHANGE -standby-timeout-ac 0 & powercfg /CHANGE -hibernate-timeout-ac 0 & Powercfg -SetAcValueIndex 381b4222-f694-41f0-9685-ff5bb260df2e 4f971e89-eebd-4455-a8de-9e59040e7347 5ca833...
'<SYSTEM32>\schtasks.exe' /create /tn "UAC" /SC ONLOGON /F /RL HIGHEST /TR "%APPDATA%\NsMiner\IMG001.exe"
'<SYSTEM32>\schtasks.exe' /create /tn "UAC" /RU "SYSTEM" /SC ONLOGON /F /V1 /RL HIGHEST /TR "%APPDATA%\NsMiner\IMG001.exe"
'<SYSTEM32>\powercfg.exe' /CHANGE -standby-timeout-ac 0
'<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "" /d "%APPDATA%\NsMiner\IMG001.exe" /t REG_SZ
'<SYSTEM32>\powercfg.exe' /CHANGE -hibernate-timeout-ac 0
'<SYSTEM32>\powercfg.exe' -SetAcValueIndex 381b4222-f694-41f0-9685-ff5bb260df2e 4f971e89-eebd-4455-a8de-9e59040e7347 5ca83367-6e45-459f-a27b-476b1d01c936 000