Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'd3dx32' = '%APPDATA%\minceraft\System.lnk'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\system.lnk
- %APPDATA%\microsoft\windows\start menu\programs\startup\bkphst32.lnk
- %APPDATA%\microsoft\windows\start menu\programs\startup\winlog.lnk
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\cdgh.exe
- %TEMP%\xxmbk.exe
- %APPDATA%\ssjk.exe
- %APPDATA%\minceraft\msg.vbs
- %APPDATA%\minceraft\mos
- %APPDATA%\minceraft\6xcvketgnlpql8bot6fw9obygudy4i.bat
- %APPDATA%\minceraft\vmcheck32.dll
- %APPDATA%\minceraft\fontreview.exe
- %APPDATA%\minceraft\system.vbe
- %APPDATA%\minceraft\system.lnk
- %HOMEPATH%\pictures\bkphst32.exe
- %HOMEPATH%\pictures\bkphst32.lnk
- %HOMEPATH%\pictures\vmcheck32.dll
- %APPDATA%\minceraft\winlog.lnk
Удаляет следующие файлы
- %TEMP%\xxmbk.exe
- %APPDATA%\ssjk.exe
Сетевая активность
UDP
- DNS ASK ko###off.xyz
- DNS ASK ip##fo.io
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\xxmbk.exe' -s -pfsdgsdfvsdzcxfsDC
- '%APPDATA%\ssjk.exe'
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\minceraft\System.vbe"
- '%TEMP%\cdgh.exe'
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\minceraft\msg.vbs"
- '%APPDATA%\minceraft\fontreview.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""%APPDATA%\minceraft\6xcVKEtGNlpql8bot6FW9obyGuDy4I.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%APPDATA%\minceraft\6xcVKEtGNlpql8bot6FW9obyGuDy4I.bat" "
