Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\runtimebroker
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\windows\system32\runtimebrokerhost.exe
- %APPDATA%\microsoft\windows\security\sysruntimemonitor.exe
- nul
Сетевая активность
Подключается к
- 'ip##pi.com':80
- 'xm#####.nanopool.org':10343
- 'xm#####.nanopool.org':10300
TCP
Запросы HTTP GET
- http://ip##pi.com/json/
Другие
- 'xm#####.nanopool.org':10343
- 'xm#####.nanopool.org':10300
UDP
- DNS ASK ip##pi.com
- DNS ASK xm#####.nanopool.org
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\security\sysruntimemonitor.exe'
- '%APPDATA%\microsoft\windows\system32\runtimebrokerhost.exe' --internal-supervised Local\RuntimeBrokerHost-heartbeat-4100-1781818973448 Local\RuntimeBrokerHost-heartbeat-4100-1781818973448 4100 %APPDATA%\Microsoft\Windows\Security\SysRuntimeMonitor.exe
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Create /F /SC ONLOGON /TN RuntimeBroker /TR \"%APPDATA%\Microsoft\Windows\Security\SysRuntimeMonitor.exe\"
