Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%TEMP%\WinRing0x64.sys'
Создает следующие сервисы
- 'WinRing0_1_2_0' %TEMP%\WinRing0x64.sys
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dilhost.exe
- %TEMP%\4pdmjipc.bat
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\dilhost.exe
Сетевая активность
Подключается к
- 'xm#.##inrarigs.com':3333
TCP
Другие
- 'xm#.##inrarigs.com':3333
UDP
- DNS ASK xm#.##inrarigs.com
Другое
Создает и запускает на исполнение
- '%TEMP%\dilhost.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\4PDMJIPC.bat" "<Полный путь к файлу>" " (со скрытым окном)
- '<SYSTEM32>\chcp.com' 65001
- '<SYSTEM32>\tasklist.exe'
- '<SYSTEM32>\findstr.exe' /i "dIlhost.exe"
