Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\system32.vbs
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>.vbs
- %WINDIR%\consominer2.cfg
- %WINDIR%\start.bat
- <SYSTEM32>.exe
- %WINDIR%\payments.txt
- %WINDIR%\log.txt
Сетевая активность
Подключается к
- 'no###ish.xyz':8082
- 'no#####l.estripa.online':8082
- 'po##.nosomn.com':8082
- '15#.#96.1.198':8082
- '47.##.181.190':8082
TCP
Другие
- 'no###ish.xyz':8082
- 'no#####l.estripa.online':8082
- 'po##.nosomn.com':8082
- '15#.#96.1.198':8082
- '47.##.181.190':8082
UDP
- DNS ASK st######1.sjc02.svwh.net
- DNS ASK no###ish.xyz
- DNS ASK no#####l.estripa.online
- DNS ASK po##.nosomn.com
- 'st######1.sjc02.svwh.net':123
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "<SYSTEM32>.vbs"
- '<SYSTEM32>.exe'
- '<SYSTEM32>.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%WINDIR%\start.bat" "
