Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\startz.lnk
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%ALLUSERSPROFILE%\Windows\WinRing0x64.sys'
Создает следующие сервисы
- 'WinRing0_1_2_0' %ALLUSERSPROFILE%\Windows\WinRing0x64.sys
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\windows\startz.bat
- %ALLUSERSPROFILE%\windows\startz.vbs
- %ALLUSERSPROFILE%\windows\winring0x64.sys
- %ALLUSERSPROFILE%\windows\zeph.exe
- %ALLUSERSPROFILE%\windows\config.json
- %ALLUSERSPROFILE%\windows\sha256sums
Сетевая активность
Подключается к
- 'de.#####r.herominers.com':1123
TCP
Другие
- 'de.#####r.herominers.com':1123
UDP
- DNS ASK de.#####r.herominers.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%ALLUSERSPROFILE%\Windows\startz.vbs"
- '%ALLUSERSPROFILE%\windows\zeph.exe' --donate-level 1 -o de.zephyr.herominers.com:1123 -u ZEPHs9AiuQr3nvqcYocvGAAandPrGcEjZK2377hkU74NEaoN4HKhF1o2tckUkrM1Q2RvFB2XPfEkQ3aufagBQY5C58ejcJ78e3r -p ZEPH1 -a rx/0 -k
- '%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\Windows\startz.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\Windows\startz.bat" "
