Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\stone.lnk
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\child.exe
- %WINDIR%\childsong.exe
- %WINDIR%\stone.vbs
- %WINDIR%\1.bat
- %WINDIR%\start.bat
- <SYSTEM32>.bat
- <SYSTEM32>.exe
Сетевая активность
TCP
- 'po##.#upportxmr.com':5555
UDP
- DNS ASK po##.#upportxmr.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\childsong.exe'
- '%WINDIR%\child.exe'
- '%WINDIR%\syswow64\wscript.exe' "%WINDIR%\Stone.vbs"
- '<SYSTEM32>.exe' --auto --any --forever --keepalive --variation 0 --low -o pool.supportxmr.com:5555 -u 4Hm3YrYNgczRAP7jbGCZ7vA8XwbBR8DWMU7Bm9FKZqjxQXPPcwMP1kDbK3mtBSdt2c6TmLCPiMSXa39uBiEBwkg4FXqSXZE1GesPGGqsE6 ...
- '%WINDIR%\syswow64\cmd.exe' /c ""<SYSTEM32>.bat" "' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%WINDIR%\1.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""<SYSTEM32>.bat" "
- '%WINDIR%\syswow64\cmd.exe' /c ""%WINDIR%\1.bat" "
- '%WINDIR%\syswow64\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
