Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\xjrxcviqlnxf
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'RegmonClass', WindowName: ''
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\2b4z7qbhj9.txt
- %LOCALAPPDATA%\ooo_ch_miner\<Имя файла>.exe_url_etkhcbeeofrbj43kkagm3qvgh1maw5ua\1.0.0.0\rmxkltq3.newcfg
- %LOCALAPPDATA%\ooo_ch_miner\<Имя файла>.exe_url_etkhcbeeofrbj43kkagm3qvgh1maw5ua\1.0.0.0\kynkwdf3.newcfg
- %TEMP%\driver cpu v58\7ab52dc121181a3e643d.tmp.zip
- %TEMP%\driver cpu v58\dotnetzip-2yvxhktf.tmp
- %TEMP%\driver cpu\7ab52dc121181a3e643d.tmp.zip
- %TEMP%\driver cpu\dotnetzip-va4an01y.tmp
Удаляет следующие файлы
- %TEMP%\driver cpu v58\7ab52dc121181a3e643d.tmp.zip
- %TEMP%\driver cpu\7ab52dc121181a3e643d.tmp.zip
Перемещает следующие файлы
- %LOCALAPPDATA%\ooo_ch_miner\<Имя файла>.exe_url_etkhcbeeofrbj43kkagm3qvgh1maw5ua\1.0.0.0\rmxkltq3.newcfg в %LOCALAPPDATA%\ooo_ch_miner\<Имя файла>.exe_url_etkhcbeeofrbj43kkagm3qvgh1maw5ua\1.0.0.0\user.config
- %LOCALAPPDATA%\ooo_ch_miner\<Имя файла>.exe_url_etkhcbeeofrbj43kkagm3qvgh1maw5ua\1.0.0.0\kynkwdf3.newcfg в %LOCALAPPDATA%\ooo_ch_miner\<Имя файла>.exe_url_etkhcbeeofrbj43kkagm3qvgh1maw5ua\1.0.0.0\user.config
- %TEMP%\driver cpu v58\dotnetzip-2yvxhktf.tmp в %TEMP%\driver cpu v58\nvamdlxapi.exe
- %TEMP%\driver cpu\dotnetzip-va4an01y.tmp в %TEMP%\driver cpu\quplaunch.exe
Сетевая активность
Подключается к
- '13#.#43.113.70':2727
- 'microsoft.com':80
- '13#.#43.113.70':3333
TCP
- '13#.#43.113.70':2727
UDP
- DNS ASK microsoft.com
Другое
Ищет следующие окна
- ClassName: 'Registry Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
- ClassName: '18467-41' WindowName: ''
- ClassName: 'File Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
- ClassName: 'Process Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\driver cpu v58\nvamdlxapi.exe' --url 136.243.113.70:3333 --donate-level 1
- '%TEMP%\driver cpu\quplaunch.exe' -epool eth-eu1.nanopool.org:9999 -ewal 0x0A51770F572Ee90a03e6DF5A1cc669a4058a3B10 -worker MyWorker -epsw password666 -mode 1 -Rmode 1 -log 0 -mport 0 -etha 0 -retrydelay 1 -ftime 55 -tt 79 -tst...
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn "xjrxcviqlnxf" /tr '"%TEMP%\ybwzcudywvib\xjrxcviqlnxf.exe"' & exit' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn "xjrxcviqlnxf" /tr '"%TEMP%\ybwzcudywvib\xjrxcviqlnxf.exe"' & exit
- '%WINDIR%\syswow64\schtasks.exe' /create /f /sc onlogon /rl highest /tn "xjrxcviqlnxf" /tr '"%TEMP%\ybwzcudywvib\xjrxcviqlnxf.exe"'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Get-MpPreference -verbose
