Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'SystemWin' = '%APPDATA%\SystemWin\svchost.exe'
Вредоносные функции
Запускает большое число процессов
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei29362\vcruntime140.dll
- %TEMP%\_mei29362\_bz2.pyd
- %TEMP%\_mei29362\_ctypes.pyd
- %TEMP%\_mei29362\_decimal.pyd
- %TEMP%\_mei29362\_hashlib.pyd
- %TEMP%\_mei29362\_lzma.pyd
- %TEMP%\_mei29362\_socket.pyd
- %TEMP%\_mei29362\base_library.zip
- %TEMP%\_mei29362\libcrypto-3.dll
- %TEMP%\_mei29362\libffi-8.dll
- %TEMP%\_mei29362\python313.dll
- %TEMP%\_mei29362\select.pyd
- %TEMP%\_mei29362\unicodedata.pyd
- %TEMP%\_mei29362\xmrig_embedded.py
- %APPDATA%\systemwin\svchost.exe
- %TEMP%\_mei41922\vcruntime140.dll
- %TEMP%\_mei41922\_bz2.pyd
- %TEMP%\_mei41922\_ctypes.pyd
- %TEMP%\_mei41922\_decimal.pyd
- %TEMP%\_mei41922\_hashlib.pyd
- %TEMP%\_mei41922\_lzma.pyd
- %TEMP%\_mei41922\_socket.pyd
- %TEMP%\_mei41922\base_library.zip
- %TEMP%\_mei41922\libcrypto-3.dll
- %TEMP%\_mei41922\libffi-8.dll
- %TEMP%\_mei41922\python313.dll
- %TEMP%\_mei41922\select.pyd
- %TEMP%\_mei41922\unicodedata.pyd
- %TEMP%\_mei41922\xmrig_embedded.py
Другое
Создает и запускает на исполнение
- '%APPDATA%\systemwin\svchost.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\tasklist.exe' /fi "imagename eq Taskmgr.exe"
- '<SYSTEM32>\rundll32.exe' javascript:"\..\mshtml,RunHTMLApplication";document.write();new%20ActiveXObject("WScript.Shell").Run("""%APPDATA%\SystemWin\svchost.exe"" -xmrig",0,false) (со скрытым окном)
- '%APPDATA%\systemwin\svchost.exe' (со скрытым окном)
