Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run\] 'arabian' = '"%APPDATA%\winccs.exe"'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\winccs.exe
- %TEMP%\pmstart.exe
Другое
Создает и запускает на исполнение
- '%APPDATA%\winccs.exe'
- '%TEMP%\pmstart.exe' -pool eu1.ethermine.org:4444 -wal 2e1161278da08af5b4501ae22e38c27afd0f6316 -worker wLPPcG0X -log 0 -fcm 0 -powlim 75
- '%WINDIR%\syswow64\cmd.exe' /C TIMEOUT /T 5 /NOBREAK && "%APPDATA%\winccs.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C "%TEMP%\pmstart.exe" -pool eu1.ethermine.org:4444 -wal 2e1161278da08af5b4501ae22e38c27afd0f6316 -worker wLPPcG0X -log 0 -fcm 0 -powlim 75' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C TIMEOUT /T 5 /NOBREAK && "%APPDATA%\winccs.exe"
- '%WINDIR%\syswow64\timeout.exe' /T 5 /NOBREAK
- '%WINDIR%\syswow64\cmd.exe' /C "%TEMP%\pmstart.exe" -pool eu1.ethermine.org:4444 -wal 2e1161278da08af5b4501ae22e38c27afd0f6316 -worker wLPPcG0X -log 0 -fcm 0 -powlim 75
