Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Microsoft® Windows® Operating System' = '%TEMP%\netsh.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = '%APPDATA%\\netsh.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' -n 1 -w 3000 1.1.1.1
- '<SYSTEM32>\taskkill.exe' /f /im "<Имя вируса>.exe"
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /f /v "Microsoft® Windows® Operating System" /t REG_SZ /d "%TEMP%\netsh.exe
Пытается завершить работу операционной системы Windows.
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\miner.dll
- %APPDATA%\coinutil.dll
- %APPDATA%\phatk.ptx
- %APPDATA%\phatk.cl
- %APPDATA%\btc-evergreen.il
- %APPDATA%\service.exe
- %TEMP%\netsh.exe
- %APPDATA%\btc.il
- %APPDATA%\bdb.dll
Самоперемещается:
- из <Полный путь к вирусу> в %APPDATA%\netsh.exe
Сетевая активность:
Подключается к:
- '19#.#0.57.179':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- 19#.#0.57.179/sov1001/miner.dll
- 19#.#0.57.179/sov1001/coinutil.dll
- 19#.#0.57.179/sov1001/phatk.cl
- 19#.#0.57.179/sov1001/usft_ext.dll
- 19#.#0.57.179/sov1001/phatk.ptx
- 19#.#0.57.179/sov1001/coin-miner.exe
- wp#d/wpad.dat
- 19#.#0.57.179/sov1001/bdb.dll
- 19#.#0.57.179/sov1001/btc-evergreen.il
- 19#.#0.57.179/sov1001/btc.il
UDP:
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
- ClassName: 'Indicator' WindowName: '(null)'
