Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\nicosoft
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\NsSvc] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\NsSvc] 'ImagePath' = '<SYSTEM32>\nscd.exe'
Создает следующие сервисы
- 'NsSvc' <SYSTEM32>\nscd.exe
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\task.exe
- <SYSTEM32>\nscd.exe
- %WINDIR%\winring0x64.sys
- %WINDIR%\java.exe
Сетевая активность
Подключается к
- 'ni###oft.org':80
- 'xm#.#2pool.com':13531
TCP
- 'xm#.#2pool.com':13531
UDP
- DNS ASK ni###oft.org
- DNS ASK xm#.#2pool.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\task.exe' -s
- '<SYSTEM32>\nscd.exe'
- '%WINDIR%\java.exe'
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 1 /tn "NicoSoft" /ru system /tr "<SYSTEM32>\task.exe -s"' (со скрытым окном)
- '<SYSTEM32>\task.exe' -s' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 1 /tn "NicoSoft" /ru system /tr "<SYSTEM32>\task.exe -s"
