Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\cmd\windows\system32\cmd.exe
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- <Имя файла>.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\<Имя файла>.exe
- <Текущая директория>\1206776.bin
Сетевая активность
Подключается к
- 'ma##xx.xyz':80
- 'ch#####.amazonaws.com':80
TCP
Запросы HTTP GET
- http://ma##xx.xyz/panel/login.php
- http://ma##xx.xyz/panel/bot/check.php?hw#########################################################################################################################################################...
- http://ma##xx.xyz/panel/bot/miner.php?ch#####
- http://ma##xx.xyz/panel/bot/miner.php
- http://ma##xx.xyz/panel/bot/do.php?hw###################
UDP
- DNS ASK ma##xx.xyz
- DNS ASK ch#####.amazonaws.com
Другое
Создает и запускает на исполнение
- '%TEMP%\<Имя файла>.exe'
