Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\system.lnk
- %APPDATA%\microsoft\windows\start menu\programs\startup\flashplayer.lnk
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\7zsca80d880\hidcon.exe
- %TEMP%\7zsca80d880\setup.exe
- %TEMP%\rarsfx0\12.bat
- %TEMP%\rarsfx0\svchost.exe
- %TEMP%\rarsfx0\12.vbs
- %TEMP%\rarsfx1\1.bat
- %TEMP%\rarsfx1\svchost.exe
- %TEMP%\rarsfx1\libcurl-4.dll
- %TEMP%\rarsfx1\libiconv-2.dll
- %TEMP%\rarsfx1\libidn-11.dll
- %TEMP%\rarsfx1\libintl-8.dll
- %TEMP%\rarsfx1\libwinpthread-1.dll
- %TEMP%\rarsfx1\zlib1.dll
- %TEMP%\rarsfx1\1.vbs
- nul
Сетевая активность
Подключается к
- 'xm#.###l.minergate.com':45560
UDP
- DNS ASK xm#.###l.minergate.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\7zsca80d880\hidcon.exe' "setup.exe"
- '%TEMP%\7zsca80d880\setup.exe'
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\RarSFX0\12.vbs"
- '%TEMP%\rarsfx0\svchost.exe'
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\RarSFX1\1.vbs"
- '%TEMP%\rarsfx1\svchost.exe' -o stratum+tcp://xmr.pool.minergate.com:45560 -u minergante_xmr@mail.ru -t 1
- '%TEMP%\7zsca80d880\setup.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\RarSFX0\12.bat" "' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\RarSFX1\1.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\RarSFX0\12.bat" "
- '%WINDIR%\syswow64\tasklist.exe' /fi "IMAGENAME eq Svchost.exe"
- '%WINDIR%\syswow64\find.exe' "Svchost.exe"
- '%WINDIR%\syswow64\ping.exe' 127.1 -n 6
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\RarSFX1\1.bat" "
