Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdater' = 'c:\XMR\Coin\start.exe'
Изменения в файловой системе
Создает следующие файлы
- C:\xmr\coin\core32.exe
- C:\xmr\coin\api\index.php
- C:\xmr\coin\api\local-sample.php
- C:\xmr\coin\api\websocket.htm
- C:\xmr\coin\run.vbs
- %TEMP%\tmp3571.tmp.bat
- C:\xmr\coin\start.exe
Удаляет следующие файлы
- %TEMP%\tmp3571.tmp.bat
Сетевая активность
Подключается к
- 'xm#.###l.minergate.com':45560
UDP
- DNS ASK xm#.###l.minergate.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "C:\XMR\Coin\run.vbs"
- 'C:\xmr\coin\core32.exe' -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u vomvomko@gmail.com -p rony1500
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\tmp3571.tmp.bat" "' (со скрытым окном)
- 'C:\xmr\coin\core32.exe' -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u vomvomko@gmail.com -p rony1500' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\tmp3571.tmp.bat" "
