Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\google chrome
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%TEMP%\WinRing0x64.sys'
Создает следующие сервисы
- 'WinRing0_1_2_0' %TEMP%\WinRing0x64.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\google\chrome.exe
- %TEMP%\winring0x64.sys
Сетевая активность
Подключается к
- 'ht##bin.org':80
- 'po##.#upportxmr.com':3333
TCP
Запросы HTTP GET
- http://ht##bin.org/ip
Другие
- 'po##.#upportxmr.com':3333
UDP
- DNS ASK ht##bin.org
- DNS ASK po##.#upportxmr.com
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\google\chrome.exe'
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 1 /tn "Google Chrome" /rl HIGHEST /tr %ALLUSERSPROFILE%\Google\chrome.exe
- '%WINDIR%\explorer.exe' --donate-level 0 --cpu-max-threads-hint 40 -o pool.supportxmr.com:3333 -u 45XQiu9A9vmVd5Cy6X35M12NocUr2Hx69X4ZNNu2BsKJYkdksefg2gXJyvBUeEJyDWTfLD6GWmAu4Tab1w4tycfcFMqy8yH -p magic-cpu (со скрытым окном)
