Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdater' = 'c:\Ufasoft\Coin\start.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\Ufasoft\Coin\coin-miner.exe' -a scrypt -o stratum+tcp://ltc.ghash.io:3333 -u mrlion.xx -p 200920751 -T 100 -t 2 -g No
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "C:\Ufasoft\Coin\run.vbs"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp1.tmp.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- C:\Ufasoft\Coin\run.vbs
- C:\Ufasoft\Coin\usft_ext.dll
- C:\Ufasoft\Coin\start.exe
- %TEMP%\tmp1.tmp.bat
- C:\Ufasoft\Coin\mpir.dll
- C:\Ufasoft\Coin\coineng.dll
- C:\Ufasoft\Coin\coin-miner.exe
- C:\Ufasoft\Coin\miner.dll
- C:\Ufasoft\Coin\coinutil.dll
Удаляет следующие файлы:
- %TEMP%\tmp1.tmp.bat
Сетевая активность:
Подключается к:
- 'lt#.#hash.io':3333
UDP:
- DNS ASK lt#.#hash.io
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
