Техническая информация
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Helper' = '<Полный путь к файлу>'
- <SYSTEM32>\tasks\windows\windows helper
- [<HKLM>\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '<Текущая директория>\WinRing0x64.sys'
- '' (загружен из сети Интернет)
- %TEMP%\ip
- <Текущая директория>\helper.exe
- <Текущая директория>\winring0x64.sys
- %WINDIR%\temp\udd35d8.tmp
- %WINDIR%\temp\udd35d8.tmp
- http://ch####p.dyndns.org/
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
- http://5.###.155.58/windows/helper
- http://5.###.155.58/windows/driver
- DNS ASK ch####p.dyndns.org
- DNS ASK pa###bin.com
- DNS ASK microsoft.com
- DNS ASK po##.#upportxmr.com
- '<Текущая директория>\helper.exe' -o pool.supportxmr.com:443 -u 46CQAiMrmz7MzSQPq5uyVbhVSyRpQ2T5u2tTVD4XKwftct3x9cUextD2uid99qhisjEquLbGBMPhVAmN8hULFAM9P5bL9nP -k --tls -p O-95.211.190.198
- '<SYSTEM32>\cmd.exe' /c schtasks /delete / tn "Windows\Windows Helper" / f
- '<SYSTEM32>\cmd.exe' /c schtasks /create /sc MINUTE /mo 5 /tn "Windows\Windows Helper" /tr "<Полный путь к файлу>" /f
- '<SYSTEM32>\schtasks.exe' /create /sc MINUTE /mo 5 /tn "Windows\Windows Helper" /tr "<Полный путь к файлу>" /f
- '<SYSTEM32>\schtasks.exe' /delete / tn "Windows\Windows Helper" / f