Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\WiredService] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\WiredService] 'ImagePath' = '%ALLUSERSPROFILE%\Microsoft\Crypto\lsass.exe'
Создает следующие сервисы
- 'WiredService' %ALLUSERSPROFILE%\Microsoft\Crypto\lsass.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\microsoft\crypto\lsass.exe
- <Текущая директория>\_delxmr.bat
- %ALLUSERSPROFILE%\microsoft\crypto\lcacs.exe
Самоудаляется.
Сетевая активность
TCP
Другие
- 'sg.##nexmr.com':7777
UDP
- DNS ASK sg.##nexmr.com
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\microsoft\crypto\lsass.exe'
- '%ALLUSERSPROFILE%\microsoft\crypto\lcacs.exe' -o sg.minexmr.com:7777 -u 47bT7aEPZ28dkbwDcHjY1yMtw26oGq4Sccqn9y61hnbvHGiPqjo1pAzbXGgPxSePJk9DsnbUW5uBcUhzCWhVpKu6JV4ZUtY -p x -k --cpu-max-threads-hint 50
- '%WINDIR%\syswow64\cmd.exe' /c <Текущая директория>\_delxmr.bat' (со скрытым окном)
- '%ALLUSERSPROFILE%\microsoft\crypto\lcacs.exe' -o sg.minexmr.com:7777 -u 47bT7aEPZ28dkbwDcHjY1yMtw26oGq4Sccqn9y61hnbvHGiPqjo1pAzbXGgPxSePJk9DsnbUW5uBcUhzCWhVpKu6JV4ZUtY -p x -k --cpu-max-threads-hint 50' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c <Текущая директория>\_delxmr.bat
