Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'System.exe' = '%APPDATA%\System.exe'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\user.pif
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\dwm.exe
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\system.exe
- D:\user.pif
Изменяет файл HOSTS.
Сетевая активность
UDP
- DNS ASK gu##.##neroocean.stream
Другое
Создает и запускает на исполнение
- '%APPDATA%\system.exe'
Запускает на исполнение
- '<SYSTEM32>\dwm.exe' -B --donate-level=1 -a cryptonight --cpu-priority=0 --url=gulf.moneroocean.stream:10001 -u 47KFdmFbUNRERf5vepmsw5iYY5r3fermHK9a8XgwK8427vSDReysvi3Df3atM6xuKz7LdnspKTEMdi9KsJJhbNQwVksj9EV -p use...
