Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'CNminer' = '%APPDATA%\Images\CNminer.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsr406.tmp
- %APPDATA%\images\imГ ge.exe
- %TEMP%\nsx2cac.tmp
- %APPDATA%\images\nscpucnminer32.exe
- %APPDATA%\images\nscpucnminer64.exe
- %APPDATA%\images\pools.txt
- %APPDATA%\images\cnminer.exe
- %TEMP%\nsh44af.tmp\inetc.dll
- %TEMP%\nsh44af.tmp\nsrandom.dll
- %TEMP%\nsh44af.tmp\nsexec.dll
- %TEMP%\nsh44af.tmp\system.dll
Сетевая активность
Подключается к
- '93.#14.1.50':445
- '93.#14.1.50':139
UDP
- DNS ASK tr###tests.ru
Другое
Создает и запускает на исполнение
- '%APPDATA%\images\imГ ge.exe' SW_HIDE
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ping -n 1 -w 300 17#.#85.240.228 (со скрытым окном)
- '%WINDIR%\syswow64\ping.exe' -n 1 -w 300 17#.#85.240.228
- '%WINDIR%\syswow64\cmd.exe' /c ping -n 1 -w 300 57.##1.241.167 (со скрытым окном)
- '%WINDIR%\syswow64\ping.exe' -n 1 -w 300 57.##1.241.167
- '%WINDIR%\syswow64\cmd.exe' /c ping -n 1 -w 300 20#.#90.126.152 (со скрытым окном)
- '%WINDIR%\syswow64\ping.exe' -n 1 -w 300 20#.#90.126.152
- '%WINDIR%\syswow64\cmd.exe' /c ping -n 1 -w 300 93.#14.1.50 (со скрытым окном)
- '%WINDIR%\syswow64\ping.exe' -n 1 -w 300 93.#14.1.50
- '%WINDIR%\syswow64\cmd.exe' /c net use \\93.#14.1.50\IPC$ "" /user:"" (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' use \\93.#14.1.50\IPC$ "" /user:""
- '%WINDIR%\syswow64\cmd.exe' /c net use \\93.#14.1.50\IPC$ "" /user:"Administrator" (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' use \\93.#14.1.50\IPC$ "" /user:"Administrator"
