Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'Load' = '%HOMEPATH%\scvhot\scvhots.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\scvhot\scvhots.exe
- %TEMP%\tmpe81d.tmp.bat
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\scvhot\scvhots.exe
Удаляет следующие файлы
- %TEMP%\tmpe81d.tmp.bat
Сетевая активность
Подключается к
- 'po##.#upportxmr.com':80
TCP
Другие
- 'po##.#upportxmr.com':80
UDP
- DNS ASK po##.#upportxmr.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%HOMEPATH%\scvhot\scvhots.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\tmpE81D.tmp.bat" "' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' -a cryptonight -o pool.supportxmr.com:80 -u 453ys3CV57Nbg2XCekHZdJRHyGd4uSB1oTuWEs5btLfsYDKE71XAmUVYybZXVBeZDS34zWxkWL6pNRNPPXHChq6CGwNa5j4 -p cpu --av=0 -t 1 --donate-level=1' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\tmpE81D.tmp.bat" "
- '%WINDIR%\syswow64\attrib.exe' +s +a +h %HOMEPATH%\scvhot
- '%WINDIR%\syswow64\attrib.exe' +s +a +h %HOMEPATH%\scvhot\*
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' -a cryptonight -o pool.supportxmr.com:80 -u 453ys3CV57Nbg2XCekHZdJRHyGd4uSB1oTuWEs5btLfsYDKE71XAmUVYybZXVBeZDS34zWxkWL6pNRNPPXHChq6CGwNa5j4 -p cpu --av=0 -t 1 --donate-level=1
