Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'ShellExperienceHost' = '%TEMP%\System32\Logs\ShellExperienceHost.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut2b53.tmp
- %TEMP%\appdata\778899.exe
- %TEMP%\sourse.exe
- %TEMP%\aut4340.tmp
- %TEMP%\system32\logs\microsoftshellhost.exe
- %TEMP%\aut44b8.tmp
- %TEMP%\system32\logs\shellexperiencehost.exe
- %TEMP%\windowstask\microsoftshellhost.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\windowstask\microsoftshellhost.exe
- %TEMP%\system32\logs\shellexperiencehost.exe
Удаляет следующие файлы
- %TEMP%\aut2b53.tmp
- %TEMP%\aut4340.tmp
- %TEMP%\aut44b8.tmp
- %TEMP%\appdata\778899.exe
- %TEMP%\system32\logs\microsoftshellhost.exe
Сетевая активность
TCP
- 'ip###ger.com':443
UDP
- DNS ASK ip###ger.com
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\appdata\778899.exe' -p000111222q
- '%TEMP%\sourse.exe'
- '%TEMP%\system32\logs\shellexperiencehost.exe'
- '%TEMP%\windowstask\microsoftshellhost.exe' -o stratum+tcp://xmr.pool.minergate.com:45560 -u olegovolen@ya.ru -p x -t 0
- '<SYSTEM32>\cmd.exe' /c %TEMP%\WindowsTask\MicrosoftShellHost.exe -o stratum+tcp://xmr.pool.minergate.com:45560 -u olegovolen@ya.ru -p x -t 0' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c %TEMP%\WindowsTask\MicrosoftShellHost.exe -o stratum+tcp://xmr.pool.minergate.com:45560 -u olegovolen@ya.ru -p x -t 0
