Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'CNminer' = '%APPDATA%\NsCpuCNMiner\CNminer.exe'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\cnminer.lnk
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /f /im net.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\nscpucnminer\cnminer.exe
- %TEMP%\nsp5042.tmp\nsexec.dll
- %APPDATA%\nscpucnminer\nscpucnminer32.exe
- %APPDATA%\nscpucnminer\nscpucnminer64.exe
- %APPDATA%\nscpucnminer\pools.txt
- %TEMP%\nsk67e7.tmp\inetc.dll
- %TEMP%\nsp5042.tmp\system.dll
Сетевая активность
UDP
- DNS ASK hr##sts.ru
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\nscpucnminer\cnminer.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c xcopy /y "<Полный путь к файлу>" "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup" (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c xcopy /y /i "<Полный путь к файлу>" "%APPDATA%\%username%\" && net share %username%="%APPDATA%\%username%" /unlimited /cache:programs (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /f /im net.exe & tskill net.exe & net view (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c for %i in (A B C D E F G H J K L M N O P R S T Q U Y I X V X W Z) do xcopy /y "<Полный путь к файлу>" %i:\ (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' view
- '%APPDATA%\nscpucnminer\cnminer.exe' (со скрытым окном)
