Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'powerremot' = '%WINDIR%\powerremot.exe'
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\sc.exe
- %WINDIR%\syswow64\net.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\powerremot.exe
- %WINDIR%\temp\svcsosc.exe
Перемещает следующие файлы
- %WINDIR%\powerremot.exe в %TEMP%\[264c61541abcf0bc6256deeb819989aa]
- %WINDIR%\powerremot.exe в %TEMP%\[fd77cc1095b04492f9cdec6f197b41f0]
Подменяет следующие файлы
- %WINDIR%\powerremot.exe
- %TEMP%\[fd77cc1095b04492f9cdec6f197b41f0]
Сетевая активность
TCP
- 'mo###ohash.com':5555
UDP
- DNS ASK mo###ohash.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\powerremot.exe'
- '%WINDIR%\temp\svcsosc.exe' -a cryptonight -o monerohash.com:5555 -u 43PBziBqWRUaZNyQP7VQ2qReHVQUci6df58Gg5JJGMZsCtnanLu5nJBhA1ucAj6GqgT1DsJ49AxmG59vRdMv1Vvw6SgB2rq -p x -k --donate-level=1
- '%WINDIR%\temp\svcsosc.exe' -a cryptonight -o monerohash.com:5555 -u 43PBziBqWRUaZNyQP7VQ2qReHVQUci6df58Gg5JJGMZsCtnanLu5nJBhA1ucAj6GqgT1DsJ49AxmG59vRdMv1Vvw6SgB2rq -p x -k --donate-level=1' (со скрытым окном)
