Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowDefnder' = '%APPDATA%\WindowDefnder.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %APPDATA%\Mining\coin-miner.exe -a scrypt -o http://iG###.#####s:54321@mine.pool-x.eu:8337 -t 4 -T 70 -l yes
- %APPDATA%\Mining\coin-miner.exe (загружен из сети Интернет)
Запускает на исполнение:
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES2.tmp" "%TEMP%\vbc1.tmp"
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe /noconfig @"%TEMP%\ikbilzlz.cmdline"
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\WindowDefnder.exe
- %TEMP%\ikbilzlz.dll
- %APPDATA%\Mining\coin-miner.exe
- %TEMP%\AppLaunch\App.ine
- %TEMP%\RES2.tmp
- %TEMP%\ikbilzlz.cmdline
- %TEMP%\ikbilzlz.0.vb
- %TEMP%\vbc1.tmp
- %TEMP%\ikbilzlz.out
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\AppLaunch\svchost.exe
Удаляет следующие файлы:
- %TEMP%\ikbilzlz.out
- %TEMP%\ikbilzlz.0.vb
- %TEMP%\ikbilzlz.cmdline
- %TEMP%\RES2.tmp
- %TEMP%\vbc1.tmp
Перемещает следующие файлы:
- %TEMP%\AppLaunch\App.ine в %TEMP%\AppLaunch\svchost.exe
Самоперемещается:
- из <Полный путь к вирусу> в %APPDATA%\Mining\Mining.exe
Сетевая активность:
Подключается к:
- 'iw##.##.sourceforge.net':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- iw##.##.sourceforge.net/project/themine/Windows%20Compiled/coin-minerstandard.exe
- wp#d/wpad.dat
UDP:
- DNS ASK iw##.##.sourceforge.net
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
