Техническая информация
- [<HKLM>\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '<SYSTEM32>\WinRing0x64.sys'
- 'WinRing0_1_2_0' <SYSTEM32>\WinRing0x64.sys
- <Текущая директория>\config.json
- <Текущая директория>\winring0x64.sys
- <Текущая директория>\xmrig.exe
- <Текущая директория>\start.cmd
- <Текущая директория>\config.json в <SYSTEM32>\config.json
- <Текущая директория>\winring0x64.sys в <SYSTEM32>\winring0x64.sys
- <Текущая директория>\xmrig.exe в <SYSTEM32>\xmrig.exe
- <Текущая директория>\start.cmd в <SYSTEM32>\start.cmd
- http://45.##.178.169/config.json
- http://45.##.178.169/WinRing0x64.sys
- http://45.##.178.169/xmrig.exe
- DNS ASK po##.xmrpool.me
- '<SYSTEM32>\xmrig.exe' --coin=monero -o pool.xmrpool.me:5555 -u 44zGtcPnZV2HiFJfWZfTZR3Kri2t2wcvsK2KqaBrfVcMURWhYCJWum8HjSDYq4ieUrBh521LPZPfuLEdWCqCiSVD98akwDo
- '<SYSTEM32>\wbem\wmic.exe' process get name,executablepath
- '<SYSTEM32>\findstr.exe' xmrig.exe
- '<SYSTEM32>\cmd.exe' /C "move config.json <SYSTEM32>\config.json"
- '<SYSTEM32>\cmd.exe' /C "move WinRing0x64.sys <SYSTEM32>\WinRing0x64.sys"
- '<SYSTEM32>\cmd.exe' /C "move xmrig.exe <SYSTEM32>\xmrig.exe"
- '<SYSTEM32>\cmd.exe' /C "move start.cmd <SYSTEM32>\start.cmd"
- '<SYSTEM32>\cmd.exe' /C "start /b <SYSTEM32>\start.cmd"
- '<SYSTEM32>\cmd.exe' /K <SYSTEM32>\start.cmd