Техническая информация
- [<HKLM>\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%TEMP%\RarSFX0\WinRing0x64.sys'
- %TEMP%\rarsfx0\windowsvc.exe
- %TEMP%\rarsfx0\run.vbs
- %TEMP%\rarsfx0\windows-10-icon-logo-5bc5c69712-seeklogo.com.ico
- %TEMP%\rarsfx0\winring0x64.sys
- %TEMP%\rarsfx0\xmrig-asm.lib
- 'po##.#upportxmr.com':8080
- DNS ASK po##.#upportxmr.com
- ClassName: 'EDIT' WindowName: ''
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\RarSFX0\run.vbs"
- '%TEMP%\rarsfx0\windowsvc.exe'
- '%TEMP%\rarsfx0\windowsvc.exe' ' (со скрытым окном)