Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\WinMine.exe'
- '%APPDATA%\WinMine.exe' -a 59 -o http://h.#####lmen.info:8332 -t 2 -u mrdd_testing2 -p masmhahaah
- '%TEMP%\aba\hsbca.exe' /NOCONSOLE %TEMP%\aba\yaaaaaa.cmd
- '%TEMP%\aba\yaaa.exe'
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /f /im mamatije.exe
- '<SYSTEM32>\taskkill.exe' /f /im mamatije2.exe
- '<SYSTEM32>\cmd.exe' /c %TEMP%\UNI1.tmp.bat
- '<SYSTEM32>\cmd.exe' /c %TEMP%\aba\yaaaaaa.cmd
- '<SYSTEM32>\taskkill.exe' /f /im cgminer.exe
- '<SYSTEM32>\taskkill.exe' /f /im svchoost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\WinMine.exe
- %TEMP%\UNI1.tmp.bat
- %TEMP%\aba\yaaa.exe
- %TEMP%\aba\hsbca.exe
- %TEMP%\aba\yaaaaaa.cmd
Удаляет следующие файлы:
- %TEMP%\aba\yaaa.exe
Сетевая активность:
Подключается к:
- 'h.####elmen.info':8332
UDP:
- DNS ASK h.####elmen.info
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
