Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run\] 'Windows Config' = '%HOMEPATH%\sysfrodolv.exe'
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%HOMEPATH%\WinRing0x64.sys'
Создает следующие сервисы
- 'WinRing0_1_2_0' %HOMEPATH%\WinRing0x64.sys
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\sysmgnrsv.exe
- %HOMEPATH%\sysfrodolv.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\sysmgnrsv.exe
- %HOMEPATH%\sysfrodolv.exe
Сетевая активность
Подключается к
- '17#.#6.54.109':80
- '17#.#6.54.109':6060
TCP
Запросы HTTP GET
- http://17#.#6.54.109/xmrig.exe
Другие
- '17#.#6.54.109':6060
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\sysmgnrsv.exe'
- '%HOMEPATH%\sysfrodolv.exe'
- '%HOMEPATH%\sysmgnrsv.exe' -o 17#.#6.54.109:6060 -u 83h9mBvy1LL2qW6c2HeWczYVJQsFDF7RfVqDnaiSfFBdDcxfyJfWhRnZqZkY5chb5b6tmKZ1PPhuQbNgXggCdwTrMYWN8hi -p x -t 1
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %HOMEPATH%\sysmgnrsv.exe -o 17#.#6.54.109:6060 -u 83h9mBvy1LL2qW6c2HeWczYVJQsFDF7RfVqDnaiSfFBdDcxfyJfWhRnZqZkY5chb5b6tmKZ1PPhuQbNgXggCdwTrMYWN8hi -p x -t 1 (со скрытым окном)
