Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\winlogon.exe.lnk
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\RarSFX0\svchost.exe --algo scrypt --s 6 --threads 2 --quiet --url http://li#####npool.org:9332 --userpass alphadelta.1:test
- %TEMP%\RarSFX0\hstart.exe /NOCONSOLE /SILENT "MINE 2 THREADS.bat"
- %APPDATA%\winlogon.exe
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c "MINE 2 THREADS.bat"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\MINE 2 THREADS.bat
- %TEMP%\RarSFX0\pthreadGC2.dll
- %TEMP%\RarSFX0\svchost.exe
- %APPDATA%\winlogon.exe
- %TEMP%\RarSFX0\hstart.exe
- %TEMP%\RarSFX0\libcurl-4.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\RarSFX0\MINE 2 THREADS.bat
- %TEMP%\RarSFX0\hstart.exe
Удаляет следующие файлы:
- %TEMP%\RarSFX0\libcurl-4.dll
- %TEMP%\RarSFX0\hstart.exe
Сетевая активность:
Подключается к:
- 'li####inpool.org':9332
UDP:
- DNS ASK li####inpool.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
