Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%APPDATA%\WinCFG\Libs\WinRing0x64.sys'
Создает следующие сервисы
- 'WinRing0_1_2_0' %APPDATA%\WinCFG\Libs\WinRing0x64.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\wincfg\libs\winring0x64.sys
- %WINDIR%\temp\udd8803.tmp
Удаляет следующие файлы
- %WINDIR%\temp\udd8803.tmp
Сетевая активность
TCP
- 'po##.#upportxmr.com':80
UDP
- DNS ASK po##.#upportxmr.com
Другое
Запускает на исполнение
- '%WINDIR%\explorer.exe' -B --coin=monero --url=pool.supportxmr.com:80 --user=484CbSEqzdsPFcBxVRUZJNhmsHRcWkHEg2hnJ75NAyVqG9BQzF2cyeEew27TmaDtEqiP27xDpREa9CFWfZU9gECgJqDiJos --pass=teste --cpu-max-threads-hint=90 --do...
