Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'GMEMMENCGBIAIDG' = '<SYSTEM32>\java.exe'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\java.exe
- %WINDIR%\syswow64\system32.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\syswow64\java.exe
- %WINDIR%\syswow64\system32.exe
Сетевая активность
Подключается к
- 'xm#.###l.minergate.com':45700
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
TCP
Другие
- 'xm#.###l.minergate.com':45700
UDP
- DNS ASK xm#.###l.minergate.com
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\java.exe'
- '%WINDIR%\syswow64\system32.exe' -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45700 -u detiantona3@gmail.com -t 1
Запускает на исполнение
- '%WINDIR%\syswow64\java.exe' (со скрытым окном)
- '%WINDIR%\syswow64\system32.exe' -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45700 -u detiantona3@gmail.com -t 1 (со скрытым окном)
