Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\SYSTEM\CurrentControlSet\services\iis] 'Start' = '00000002'
- [<HKLM>\SYSTEM\CurrentControlSet\services\iis] 'ImagePath' = '"%WINDIR%\IIS\srvany.exe" '
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\iis\cpuinfo.exe
- %WINDIR%\iis\srvany.exe
- %WINDIR%\iis\iis.reg
- %WINDIR%\iis\1.bat
Самоудаляется.
Сетевая активность
UDP
- DNS ASK gx#.##nerogx.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'CPUInfo.exe'
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\iis\cpuinfo.exe'
- '%WINDIR%\iis\cpuinfo.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del "<Полный путь к файлу>"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%WINDIR%\IIS\1.BAT" "' (со скрытым окном)
- '%WINDIR%\iis\crss.exe' -o stratum+tcp://wk.monerogx.com:6502 -o stratum+tcp://note.monerogx.com:8666 -o stratum+tcp://wk.sdffdasdfsdfaczxfwd53.org:5555 -u 44FaSvDWdKAB2R3n1XUZnjavNWwXEvyixVP8FhmccbNC6TGuCs4R937YWuoew...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del "<Полный путь к файлу>"
- '%WINDIR%\syswow64\cmd.exe' /c ""%WINDIR%\IIS\1.BAT" "
- '%WINDIR%\syswow64\regedit.exe' /s iis.reg
