Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Taakj2005100' = 'c:\Taakj2005\Coin\Taakj2005.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\Taakj2005\Coin\Start_Mine.exe' --url=stratum+tcp://power.wemineltc.com:3333 --userpass=lover83.raid83:love112233
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "C:\Taakj2005\Coin\run.vbs"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp1.tmp.bat" "
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG' WindowName: '(null)'
Изменения в файловой системе:
Создает следующие файлы:
- C:\Taakj2005\Coin\run.vbs
- %TEMP%\tmp1.tmp.bat
- C:\Taakj2005\Coin\Taakj2005.exe
- C:\Taakj2005\Coin\zlib1.dll
- C:\Taakj2005\Coin\Start_Mine.exe
- C:\Taakj2005\Coin\libcurl-4.dll
- C:\Taakj2005\Coin\pthreadGC2.dll
Удаляет следующие файлы:
- %TEMP%\tmp1.tmp.bat
Сетевая активность:
Подключается к:
- 'po###.wemineltc.com':3333
UDP:
- DNS ASK po###.wemineltc.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
