Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'update' = '%APPDATA%\\hideLoader.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\UFASoft.exe' /pid=3300
- '%APPDATA%\UFASoft.exe' /pid=3200
- '%APPDATA%\UFASoft.exe' /pid=4500
- '%APPDATA%\UFASoft.exe' /pid=4080
- '%APPDATA%\UFASoft.exe' /pid=4252
- '%APPDATA%\UFASoft.exe' /pid=4068
- '%APPDATA%\UFASoft.exe' /pid=1084
- '%APPDATA%\UFASoft.exe' /pid=4420
- '%APPDATA%\UFASoft.exe' /pid=4592
- '%APPDATA%\UFASoft.exe' /pid=4440
- '%APPDATA%\UFASoft.exe' -a scrypt -g no -o us3.wemineltc.com:3333 -u Sandbox.3 -p hwa274f -t 1
- '%APPDATA%\UFASoft.exe' /pid=1624
- '%APPDATA%\UFASoft.exe' /pid=3008
- '%APPDATA%\UFASoft.exe' /pid=6120
- '%APPDATA%\UFASoft.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\phatk.cl
- %APPDATA%\miner.dll
- %APPDATA%\usft_ext.dll
- %APPDATA%\phatk.ptx
- %APPDATA%\coinutil.dll
- %APPDATA%\bdb.dll
- %APPDATA%\UFASoft.exe
- %APPDATA%\btc-evergreen.il
- %APPDATA%\btc.il
Самоперемещается:
- из <Полный путь к вирусу> в %APPDATA%\hideLoader.exe
Сетевая активность:
Подключается к:
- '19#.#0.57.179':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- 19#.#0.57.179/sov_9291/miner.dll
- 19#.#0.57.179/sov_9291/coinutil.dll
- 19#.#0.57.179/sov_9291/phatk.cl
- 19#.#0.57.179/sov_9291/usft_ext.dll
- 19#.#0.57.179/sov_9291/phatk.ptx
- 19#.#0.57.179/sov_9291/coin-miner.exe
- wp#d/wpad.dat
- 19#.#0.57.179/sov_9291/bdb.dll
- 19#.#0.57.179/sov_9291/btc-evergreen.il
- 19#.#0.57.179/sov_9291/btc.il
UDP:
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
