Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\update2025] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\update2025] 'ImagePath' = '<Полный путь к файлу>'
- [HKLM\SYSTEM\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%WINDIR%\update2025\WinRing0x64.sys'
Создает следующие сервисы
- 'update2025' <Полный путь к файлу>
- 'WinRing0_1_2_0' %WINDIR%\update2025\WinRing0x64.sys
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\update2025\update.exe
Сетевая активность
Подключается к
- 'ap#.#pify.org':443
- 'ip###ger.com':443
- 'ap#.##legram.org':443
- 'mi##.bmpool.org':6004
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?e8##############
Другие
- 'ap#.#pify.org':443
- 'ip###ger.com':443
- 'ap#.##legram.org':443
- 'mi##.bmpool.org':6004
UDP
- DNS ASK ap#.#pify.org
- DNS ASK ap#.##legram.org
- DNS ASK ip###ger.com
- DNS ASK mi##.bmpool.org
Другое
Создает и запускает на исполнение
- '%WINDIR%\update2025\update.exe' -o mine.bmpool.org:6004 -u 7249035 -p myminer
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\update2025\update.exe' -o mine.bmpool.org:6004 -u 7249035 -p myminer (со скрытым окном)
