Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'taskost.exe' = '%APPDATA%\Microsoft\Internet Explorer\WinDrv\taskost.exe'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\legit.ini
- %WINDIR%\semilegit.ini
- %WINDIR%\s.exe
- %WINDIR%\w.exe
- %WINDIR%\sulfurious.dll
- %TEMP%\aut276d.tmp
- %APPDATA%\microsoft\internet explorer\windrv\taskost.exe
- %TEMP%\aut27ac.tmp
- %APPDATA%\microsoft\internet explorer\windrv\windrv.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\internet explorer\windrv\taskost.exe
- %APPDATA%\microsoft\internet explorer\windrv\windrv.exe
Удаляет следующие файлы
- %TEMP%\aut276d.tmp
- %TEMP%\aut27ac.tmp
Сетевая активность
Подключается к
- 'xm#.###l.minergate.com':45560
UDP
- DNS ASK xm#.###l.minergate.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\w.exe'
- '%WINDIR%\s.exe'
- '%APPDATA%\microsoft\internet explorer\windrv\taskost.exe'
- '%APPDATA%\microsoft\internet explorer\windrv\windrv.exe' -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u preacher4x@gmail.com -p x -t 2
Запускает на исполнение
- '%APPDATA%\microsoft\internet explorer\windrv\windrv.exe' -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u preacher4x@gmail.com -p x -t 2 (со скрытым окном)
