Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'taskmgr' = 'C'
- %APPDATA%\bits\svchost.exe ‘-??go scrypt --scantime 99 --url http://li#####npool.org:9332 --userpass nobody.5:5 --retries -1 --quiet --threads 1
- %APPDATA%\bits\Taskmgr.exe <Полный путь к вирусу>
- %APPDATA%\bits\svchost.exe (загружен из сети Интернет)
- %APPDATA%\bits\pthreadGC2.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\minerd[1].e
- %APPDATA%\bits\svchost.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\pthreadGC2[1].d
- %APPDATA%\bits\Taskmgr.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\libcurl-4[1].d
- %APPDATA%\bits\libcurl-4.dll
- 'dl.##opbox.com':80
- 'localhost':1036
- dl.##opbox.com/u/55609232/miner%20x86/minerd.e
- dl.##opbox.com/u/55609232/miner%20x86/pthreadGC2.d
- dl.##opbox.com/u/55609232/miner%20x86/libcurl-4.d
- DNS ASK dl.##opbox.com