Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'AudioSoftwareProgram' = '%APPDATA%\AudioSoftwareProgram\Brutus.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5828
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=2748
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5888
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5628
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5908
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=3364
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5188
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4996
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=3564
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=1272
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5488
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=6096
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5268
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4708
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4184
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5568
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5748
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4436
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5768
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5996
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4588
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=2892
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=2676
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4636
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5428
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5468
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=2220
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=6008
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=6028
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5196
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=3272
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5516
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=3164
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4036
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=3848
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5316
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4204
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=3824
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=1140
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=3632
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5096
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4608
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=2712
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5016
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=3444
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=2560
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5396
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5248
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5008
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5168
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4112
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=2828
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5088
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' -a scrypt -g no -o http://mi##.#ool-x.eu:8000 -u machoxtaco.1 -p x -t 2
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4956
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5368
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=2728
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4516
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5448
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5588
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5496
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4292
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4192
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4212
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=6108
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4596
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=3732
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=3424
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=3868
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=3744
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5036
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5736
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=2852
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5756
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5896
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4536
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5728
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=3172
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=5668
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' /pid=4312
- '<SYSTEM32>\cmd.exe' (загружен из сети Интернет)
- '%APPDATA%\AudioSoftwareProgram\AudioMix.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' /pid=2860
- '<SYSTEM32>\attrib.exe' -s -h %APPDATA%\AudioSoftwareProgram
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\AudioSoftwareProgram\phatk.cl
- %APPDATA%\AudioSoftwareProgram\miner.dll
- %APPDATA%\AudioSoftwareProgram\usft_ext.dll
- %APPDATA%\AudioSoftwareProgram\phatk.ptx
- %APPDATA%\AudioSoftwareProgram\coinutil.dll
- %APPDATA%\AudioSoftwareProgram\bdb.dll
- %APPDATA%\AudioSoftwareProgram\AudioMix.exe
- %APPDATA%\AudioSoftwareProgram\btc-evergreen.il
- %APPDATA%\AudioSoftwareProgram\btc.il
Самоперемещается:
- из <Полный путь к вирусу> в %APPDATA%\AudioSoftwareProgram\Brutus.exe
Сетевая активность:
Подключается к:
- '19#.#0.57.179':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- 19#.#0.57.179/sov_9291/miner.dll
- 19#.#0.57.179/sov_9291/coinutil.dll
- 19#.#0.57.179/sov_9291/phatk.cl
- 19#.#0.57.179/sov_9291/usft_ext.dll
- 19#.#0.57.179/sov_9291/phatk.ptx
- 19#.#0.57.179/sov_9291/coin-miner.exe
- wp#d/wpad.dat
- 19#.#0.57.179/sov_9291/bdb.dll
- 19#.#0.57.179/sov_9291/btc-evergreen.il
- 19#.#0.57.179/sov_9291/btc.il
UDP:
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
