Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windowsupdatesvc
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -Command "Add-MpPreference -ExclusionPath '%APPDATA%\Microsoft\Windows\Caches'"
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\windows\caches\miner_protection.log
- %APPDATA%\microsoft\windows\caches\miner.log
- %APPDATA%\microsoft\windows\caches\windowsexplorersvc.exe
- %APPDATA%\microsoft\windows\caches\windowsupdatesvc.exe
- %TEMP%\task.xml
- %APPDATA%\microsoft\windows\caches\client.id
Удаляет файлы, которые сам же создал
- %TEMP%\task.xml
Сетевая активность
Подключается к
- 'wi#####networksvc.works':443
- 'x1.#.lencr.org':80
- 'po##.#upportxmr.com':3333
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
Другие
- 'wi#####networksvc.works':443
- 'po##.#upportxmr.com':3333
UDP
- DNS ASK wi#####networksvc.works
- DNS ASK x1.#.lencr.org
- DNS ASK po##.#upportxmr.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\caches\windowsexplorersvc.exe' --threads 1 --url pool.supportxmr.com:3333 --user 82pX519KkS26d9DtPeg3W13TnJ7b74YyHGnyYtLmucqE8A4kKUpM1Zf7LQpQ4EW8URfP73uJgmcjYd9gdNmbtMmESkUV2tr:rust-miner --pass x --keepalive --cpu-max-threa...
Запускает на исполнение
- '%WINDIR%\syswow64\wbem\wmic.exe' logicaldisk where drivetype=3 get size /format:list
- '%WINDIR%\syswow64\schtasks.exe' /create /tn WindowsUpdateSvc /xml %TEMP%\task.xml /f
