Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WinUpdate' = '%APPDATA%\system\svchost.vbs'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\system startup.lnk
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\system\svchost.bat
- %APPDATA%\system\svchost.vbs
- %APPDATA%\system\up.bat
- %APPDATA%\system\dwmhost.exe
- %APPDATA%\system\api\index.php
- %APPDATA%\system\api\local-sample.php
- %APPDATA%\system\api\websocket.htm
Сетевая активность
Подключается к
- 'eu#####.#iningrigrentals.com':3333
- 'eu#####.#iningrigrentals.com':51972
TCP
Другие
- 'eu#####.#iningrigrentals.com':3333
- 'eu#####.#iningrigrentals.com':51972
UDP
- DNS ASK eu#####.#iningrigrentals.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\system\svchost.vbs"
- '%APPDATA%\system\dwmhost.exe' -a yescrypt -o stratum+tcp://eu-de01.miningrigrentals.com:3333 -u eldrmCoin.39728 -p x
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%APPDATA%\system\up.bat" "
- '%WINDIR%\syswow64\reg.exe' ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "WinUpdate" /t REG_SZ /F /D "%APPDATA%\system\svchost.vbs"
- '%WINDIR%\syswow64\cmd.exe' /c ""%APPDATA%\system\svchost.bat" " (со скрытым окном)
