Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'RegHost' = '%APPDATA%\Microsoft\RegHost.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\adhd_and_obesity.docx
- %HOMEPATH%\desktop\applicantform_en.doc
- %HOMEPATH%\desktop\file_p_00000000_1371597592.docx
- %HOMEPATH%\desktop\holycrosschurchinstructions.docx
- %HOMEPATH%\desktop\issi2013_template_for_posters.docx
- %HOMEPATH%\desktop\weeklysheet1215.doc
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\a.exe
- %APPDATA%\microsoft\reghost.exe
Сетевая активность
Подключается к
- '62.##4.41.141':24758
- 'cd#.##scordapp.com':443
- '18#.#37.234.33':8080
TCP
Запросы HTTP GET
- http://18#.##7.234.33:8080/hs via 18#.#37.234.33
Другие
- '62.##4.41.141':24758
- 'cd#.##scordapp.com':443
UDP
- DNS ASK cd#.##scordapp.com
Другое
Создает и запускает на исполнение
- '%TEMP%\a.exe'
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\applaunch.exe'
- '%WINDIR%\bfsvc.exe' -log 0 -nvdo 1 -pool eu1-etc.ethermine.org:4444 -wal 0xe2AAd4FCa39c1dcDF9E08263E804Ca51c7f002ff -coin etc -worker white23 -cclock +500 -cvddc +500
- '%WINDIR%\explorer.exe' "easyminer_def" "" "white23" "etc" 1
