Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\concept.bat
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%ProgramFiles%\Groundwork\WinRing0x64.sys'
Создает следующие сервисы
- 'WinRing0_1_2_0' %ProgramFiles%\Groundwork\WinRing0x64.sys
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles%\groundwork\concept.bat
- %ProgramFiles%\groundwork\ground.vbs
- %ProgramFiles%\groundwork\spinner.bat
- %ProgramFiles%\groundwork\winring0x64.sys
- %ProgramFiles%\groundwork\xmrig-asm.lib
- %ProgramFiles%\groundwork\bilateral.bat
- %ProgramFiles%\groundwork\huelimanekra.exe
Сетевая активность
Подключается к
- 'po##.#ashvault.pro':80
TCP
Другие
- 'po##.#ashvault.pro':80
UDP
- DNS ASK po##.#ashvault.pro
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%ProgramFiles%\Groundwork\ground.vbs"
- '%ProgramFiles%\groundwork\huelimanekra.exe' -o pool.hashvault.pro:80 -u 47mMP5ZnudFRmH4W4BiTPGffVRaZGJndxYMuigoDQ12dTQ93vKuyaLdjJTXFcLeRwAZ4adFqvSnMqYG2AdkNNRvXAcb2nTW -p aa028
- '<SYSTEM32>\cmd.exe' /C "%ProgramFiles%\Groundwork\spinner.bat"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%ProgramFiles%\Groundwork\bilateral.bat" "
- '<SYSTEM32>\xcopy.exe' concept.bat "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\". /Y
- '<SYSTEM32>\cmd.exe' /C "%ProgramFiles%\Groundwork\spinner.bat"
