Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'My APP' = '<Полный путь к файлу>'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\report.cc0866c1-44da-4b60-9556-c7c70e5066e12\sys2.exe
- %TEMP%\report.cc0866c1-44da-4b60-9556-c7c70e5066e12\includesys64bit.exe
- %TEMP%\report.cc0866c1-44da-4b60-9556-c7c70e5066e12\prs64.exe
Сетевая активность
TCP
- 'gi##ub.com':443
- 'ra#.####ubusercontent.com':443
- 'xm#.###l.minergate.com':45700
UDP
- DNS ASK gi##ub.com
- DNS ASK ra#.####ubusercontent.com
- DNS ASK xm#.###l.minergate.com
Другое
Создает и запускает на исполнение
- '%TEMP%\report.cc0866c1-44da-4b60-9556-c7c70e5066e12\prs64.exe'
- '%TEMP%\report.cc0866c1-44da-4b60-9556-c7c70e5066e12\includesys64bit.exe' -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45700 -u m.alzurghni123@gmail.com -p x -t 12
- '%WINDIR%\syswow64\cmd.exe' /k includesys64bit.exe -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45700 -u m.alzurghni123@gmail.com -p x -t 12' (со скрытым окном)
- '%TEMP%\report.cc0866c1-44da-4b60-9556-c7c70e5066e12\prs64.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /k MOrd.exe 500 xmrig.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /k MOrd.exe 500 cmd.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /k MOrd.exe 500 prs64.exe' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /k includesys64bit.exe -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45700 -u m.alzurghni123@gmail.com -p x -t 12
- '%WINDIR%\syswow64\taskmgr.exe'
- '%WINDIR%\syswow64\cmd.exe' /k MOrd.exe 500 xmrig.exe
- '%WINDIR%\syswow64\cmd.exe' /k MOrd.exe 500 cmd.exe
- '%WINDIR%\syswow64\cmd.exe' /k MOrd.exe 500 prs64.exe
