Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\At1.job
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\Miner\Miner.exe' = '%WINDIR%\Miner\Miner.exe:*:Enabled:QvodFlowCoin'
Создает и запускает на исполнение:
- '%WINDIR%\Miner\MinerWatch.exe' %WINDIR%\Miner\Miner.exe
- '%WINDIR%\Miner\Miner.exe'
- '%WINDIR%\ks.exe'
Запускает на исполнение:
- '<SYSTEM32>\at.exe' 16:26 cmd /c del /q "%WINDIR%\ks.exe"
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'Filemonclass' WindowName: ''
- ClassName: 'Regmonclass' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\ec702f375e1b12d218f67ab9ef19ca23_23ef5514-3059-436f-a4a7-4cefaab20eb1
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\60E31627FDA0A46932B0E5948949F2A5
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\60E31627FDA0A46932B0E5948949F2A5
- %TEMP%\Cab3.tmp
- %TEMP%\Cab5.tmp
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\62B5AF9BE9ADC1085C3C56EC07A82BF6
- %ALLUSERSPROFILE%\Application Data\Miner\TaskCfg.dbx-journal
- %ALLUSERSPROFILE%\Application Data\Miner\TaskCfg.dbx
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\8DFDF057024880D7A081AFBF6D26B92F
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\8DFDF057024880D7A081AFBF6D26B92F
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\62B5AF9BE9ADC1085C3C56EC07A82BF6
- %ALLUSERSPROFILE%\Application Data\Miner\zh.zip
- %ALLUSERSPROFILE%\Application Data\Miner\QvodCfg.ini
- %ALLUSERSPROFILE%\Application Data\Miner\Users\Psw
- %WINDIR%\ks.exe
- %WINDIR%\Miner\Miner.exe
- %WINDIR%\Miner\MinerWatch.exe
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\94308059B57B3142E455B38A6EB92015
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\94308059B57B3142E455B38A6EB92015
- %TEMP%\Cab1.tmp
- %ALLUSERSPROFILE%\Application Data\Miner\Miner.xml
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\2BF68F4714092295550497DD56F57004
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\2BF68F4714092295550497DD56F57004
Удаляет следующие файлы:
- %ALLUSERSPROFILE%\Application Data\Miner\TaskCfg.dbx-journal
- %WINDIR%\ks.exe
- %WINDIR%\Tasks\At1.job
- %TEMP%\Cab1.tmp
- %TEMP%\Cab3.tmp
- %TEMP%\Cab5.tmp
Сетевая активность:
Подключается к:
- 'vl####4.yunfan.com':80
- 'cs######0-crl.verisign.com':80
- 'ag###.daddymami.net':80
- 'up####.daddymami.net':80
- 'www.download.windowsupdate.com':80
- 'wp#d':80
- 'crl.verisign.com':80
- 'cl#####g.daddymami.net':8054
TCP:
Запросы HTTP GET:
- crl.verisign.com/pca3-g5.crl
- cs######0-crl.verisign.com/CSC3-2010.crl
- up####.daddymami.net/agent.cfg
- crl.verisign.com/pca3.crl
- wp#d/wpad.dat
- www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt
- www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
UDP:
- DNS ASK ag###.##ogin4.yunfan.com
- DNS ASK st##.#addymami.net
- DNS ASK st####.daddymami.net
- DNS ASK ag###.daddymami.net
- DNS ASK up####.daddymami.net
- DNS ASK cl###.daddymami.net
- DNS ASK cl####.#iaoyi.yunfan.com
- DNS ASK wp#d
- DNS ASK cl#####g.daddymami.net
- DNS ASK www.download.windowsupdate.com
- DNS ASK cs######0-crl.verisign.com
- DNS ASK crl.verisign.com
- DNS ASK vl####4.yunfan.com
- '23#.#55.255.250':1900
- 'cl###.daddymami.net':80
- '<IP-адрес в локальной сети>':1900
- 'st##.#addymami.net':3478
Другое:
Ищет следующие окна:
- ClassName: 'TrayNotifyWnd' WindowName: ''
- ClassName: '18467-41' WindowName: ''
- ClassName: 'ToolbarWindow32' WindowName: ''
- ClassName: 'SysPager' WindowName: ''
- ClassName: '4823-00000029' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: '' WindowName: 'MinerWatch.exe'
- ClassName: '' WindowName: 'Miner.exe'
