Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%APPDATA%\WinCFG\Libs\WinRing0x64.sys'
Создает следующие сервисы
- 'WinRing0_1_2_0' %APPDATA%\WinCFG\Libs\WinRing0x64.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\wincfg\libs\winring0x64.sys
- %WINDIR%\temp\udd557f.tmp
Удаляет следующие файлы
- %WINDIR%\temp\udd557f.tmp
Сетевая активность
TCP
- 'xm#.##vemexyz.in':8080
UDP
- DNS ASK xm#.##vemexyz.in
Другое
Запускает на исполнение
- '%WINDIR%\explorer.exe' --donate-level=4 -B --coin=monero --url=xmr.givemexyz.in:8080 -o 66.70.218.40:8080 -o 209.141.35.17:8080 --user=46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4...
