Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run\] 'taskhost' = '"%APPDATA%\taskhost.exe"'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\ethern~1.exe
- %TEMP%\ixp000.tmp\hwidsp~1.exe
- %APPDATA%\taskhost.exe
- %TEMP%\pmstart.exe
Сетевая активность
Подключается к
- 'google.com':80
- 'i.###img.com':443
TCP
- 'i.###img.com':443
UDP
- DNS ASK google.com
- DNS ASK i.###img.com
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\ethern~1.exe'
- '%TEMP%\ixp000.tmp\hwidsp~1.exe'
- '%APPDATA%\taskhost.exe'
- '%TEMP%\pmstart.exe' -pool eu1.ethermine.org:4444 -wal 0xbe4254d614f7096f3a1b24596f1e4f5ab497f31c -worker yxFqNmgq -log 0 -fcm 0 -powlim 75
- '%TEMP%\ixp000.tmp\ethern~1.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C TIMEOUT /T 5 /NOBREAK && "%APPDATA%\taskhost.exe"' (со скрытым окном)
- '%TEMP%\ixp000.tmp\hwidsp~1.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C "%TEMP%\pmstart.exe" -pool eu1.ethermine.org:4444 -wal 0xbe4254d614f7096f3a1b24596f1e4f5ab497f31c -worker yxFqNmgq -log 0 -fcm 0 -powlim 75' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C TIMEOUT /T 5 /NOBREAK && "%APPDATA%\taskhost.exe"
- '%WINDIR%\syswow64\timeout.exe' /T 5 /NOBREAK
- '%WINDIR%\syswow64\cmd.exe' /C "%TEMP%\pmstart.exe" -pool eu1.ethermine.org:4444 -wal 0xbe4254d614f7096f3a1b24596f1e4f5ab497f31c -worker yxFqNmgq -log 0 -fcm 0 -powlim 75
