Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windefendr' = '%HOMEPATH%\My Documents\Windows\AppLoc\svchost.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%HOMEPATH%\My Documents\Windows\B\winsvchost.exe' -t 10 -o http://sm###########test:123@eu.triplemining.com:8344
- '%HOMEPATH%\My Documents\Windows\AppLoc\svchost.exe'
- '%HOMEPATH%\My Documents\Windows\B\winsvchost.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\My Documents\Windows\U\miner.dll
- %HOMEPATH%\My Documents\Windows\B\winsvchost.exe
- %HOMEPATH%\My Documents\Windows\U\phatk.cl
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\mi[1].txt
- %HOMEPATH%\My Documents\Windows\B\phatk.ptx
- %HOMEPATH%\My Documents\Windows\B\phatk.cl
- %HOMEPATH%\My Documents\Windows\B\miner.dll
- %HOMEPATH%\My Documents\Windows\B\usft_ext.dll
- %HOMEPATH%\My Documents\Windows\U\winx.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\usft_ext[1].txt
- %HOMEPATH%\My Documents\Windows\AppLoc\svchost.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\mx[1].txt
- %HOMEPATH%\My Documents\Windows\U\phatk.ptx
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\phatk[1].cl
- %HOMEPATH%\My Documents\Windows\U\usft_ext.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\phatk[1].txt
Сетевая активность:
Подключается к:
- '78.##.52.118':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- 78.##.52.118/u2/phatk.cl
- 78.##.52.118/u2/mi.txt
- 78.##.52.118/u2/phatk.txt
- 78.##.52.118/u2/mx.txt
- 78.##.52.118/u2/usft_ext.txt
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
