Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run\] 'SecurityHealthServiceHost' = '"%APPDATA%\SecurityHealthServiceHost.exe"'
Вредоносные функции
Запускает большое число процессов
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\tekste~1.exe
- %TEMP%\ixp000.tmp\tekhac~1.exe
- %APPDATA%\securityhealthservicehost.exe
- %TEMP%\pmstart.exe
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\tekste~1.exe'
- '%TEMP%\ixp000.tmp\tekhac~1.exe'
- '%APPDATA%\securityhealthservicehost.exe'
- '%TEMP%\pmstart.exe' -pool eu1.ethermine.org:4444 -wal 0x71fdcc0327cf3af2083cb3f1ca115087067caaf1 -worker tybitAwU -log 0 -fcm 0 -powlim 75
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C TIMEOUT /T 5 /NOBREAK && "%APPDATA%\SecurityHealthServiceHost.exe" (со скрытым окном)
- '%WINDIR%\syswow64\timeout.exe' /T 5 /NOBREAK
- '%WINDIR%\syswow64\cmd.exe' /C "%TEMP%\pmstart.exe" -pool eu1.ethermine.org:4444 -wal 0x71fdcc0327cf3af2083cb3f1ca115087067caaf1 -worker tybitAwU -log 0 -fcm 0 -powlim 75 (со скрытым окном)
