Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%TEMP%\ikayzaxhgxsp.sys'
Создает следующие сервисы
- 'WinRing0_1_2_0' %TEMP%\ikayzaxhgxsp.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ikayzaxhgxsp.sys
Сетевая активность
Подключается к
- '3.##.254.14':80
- 'ze##.#miners.com':12222
TCP
Запросы HTTP POST
- http://3.##.254.14/api/endpoint.php
Другие
- 'ze##.#miners.com':12222
UDP
- DNS ASK ze##.#miners.com
Другое
Запускает на исполнение
- '<SYSTEM32>\powercfg.exe' /x -hibernate-timeout-ac 0
- '<SYSTEM32>\powercfg.exe' /x -standby-timeout-ac 0
- '<SYSTEM32>\powercfg.exe' /x -hibernate-timeout-dc 0
- '<SYSTEM32>\powercfg.exe' /x -standby-timeout-dc 0
- '%WINDIR%\explorer.exe'
