Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\explorer.lnk
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\windows\libwinpthread-1.dll
- %ALLUSERSPROFILE%\windows\libz-1.dll
- %ALLUSERSPROFILE%\windows\svchost.bat
- %ALLUSERSPROFILE%\windows\svchost.exe
- %ALLUSERSPROFILE%\windows\svchost.vbs
- %ALLUSERSPROFILE%\windows\libcrypto-1.0.0.dll
- %ALLUSERSPROFILE%\windows\libcurl-4.dll
- %ALLUSERSPROFILE%\windows\libgcc_s_seh-1.dll
- %ALLUSERSPROFILE%\windows\libjansson-4.dll
- %ALLUSERSPROFILE%\windows\libssl-1.0.0.dll
- %ALLUSERSPROFILE%\windows\libstdc++-6.dll
Сетевая активность
UDP
- DNS ASK cr######ght.eu.nicehash.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%ALLUSERSPROFILE%\Windows\svchost.VBS"
- '%ALLUSERSPROFILE%\windows\svchost.exe' -a cryptonight -o stratum+tcp://cryptonight.eu.nicehash.com:3355 -u 18eE1eooGosuLwVSRE2topsNXYBSRZiUe2.Lab -p x -t 3 -B
- '%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\Windows\svchost.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\Windows\svchost.bat" "
