Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\1032\phoenix.exe'
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\microsoft.net\framework\1032\phoenix.exe"
- '<SYSTEM32>\DllHost.exe' /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
- '<SYSTEM32>\wermgr.exe' -queuereporting
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Microsoft.NET\Framework\1032\plugins\phatk2\kernel.cl
- %WINDIR%\Microsoft.NET\Framework\1032\plugins\opencl\__init__.pyo
- %WINDIR%\Microsoft.NET\Framework\1032\plugins\phatk2\__init__.py
- %WINDIR%\Microsoft.NET\Framework\1032\plugins\phatk2\__init__.pyo
- %WINDIR%\Microsoft.NET\Framework\1032\plugins\opencl\__init__.py
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
- %WINDIR%\Microsoft.NET\Framework\1032\phoenix.cfg
- %WINDIR%\Microsoft.NET\Framework\1032\plugins\opencl\kernel.cl
- %WINDIR%\Microsoft.NET\Framework\1032\phoenix.exe
Удаляет следующие файлы:
- %WINDIR%\Microsoft.NET\Framework\1032\plugins\phatk2\__init__.pyo
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
Сетевая активность:
Подключается к:
- 'po###.50btc.com':8332
- 'po####s.50btc.com':8332
- 'localhost':49158
- 'po##.50btc.com':8332
UDP:
- DNS ASK po####s.50btc.com
- DNS ASK dn#.##ftncsi.com
- DNS ASK po##.50btc.com
- DNS ASK po###.50btc.com
Другое:
Ищет следующие окна:
- ClassName: 'OleMainThreadWndClass' WindowName: '(null)'
