Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '<Текущая директория>\WinRing0x64.sys'
Создает следующие сервисы
- 'WinRing0_1_2_0' <Текущая директория>\WinRing0x64.sys
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\1.cmd
- <Текущая директория>\winring0x64.sys
- <Текущая директория>\xmrig.exe
Сетевая активность
Подключается к
- 'po##.#ashvault.pro':80
TCP
Другие
- 'po##.#ashvault.pro':80
UDP
- DNS ASK po##.#ashvault.pro
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\xmrig.exe' --url pool.hashvault.pro:80 --user 44nkuDevyMkUnE7Lc4kJThfZqW3zyQ62nZxB9Ca6ikxTK7SMYdLmb9eSdp3PcYDwziHMN1xyq3Yq7BNcbGXDCBhWMzEVEBX --pass Tet
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""<Текущая директория>\1.cmd" "
