Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\coep\lsaoss.exe' -a yescrypt -o stratum+tcp://69.176.84.58:7090 -u mylover2009.1 -p x -t 2
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\coep\cyglber-2-4-2.dll
- <SYSTEM32>\coep\cygldap-2-4-2.dll
- <SYSTEM32>\coep\cygkrb5-3.dll
- <SYSTEM32>\coep\cygkrb5support-0.dll
- <SYSTEM32>\coep\cygsasl2-3.dll
- <SYSTEM32>\coep\cygwin1.dll
- <SYSTEM32>\coep\cygz.dll
- <SYSTEM32>\coep\cygssh2-1.dll
- <SYSTEM32>\coep\cygssl-1.0.0.dll
- <SYSTEM32>\coep\cygk5crypto-3.dll
- <SYSTEM32>\coep\cygcrypto-1.0.0.dll
- <SYSTEM32>\coep\cygcurl-4.dll
- <SYSTEM32>\coep\lsaoss.exe
- <SYSTEM32>\coep\cygcom_err-2.dll
- <SYSTEM32>\coep\cyggcc_s-1.dll
- <SYSTEM32>\coep\cygidn-11.dll
- <SYSTEM32>\coep\cygintl-8.dll
- <SYSTEM32>\coep\cyggssapi_krb5-2.dll
- <SYSTEM32>\coep\cygiconv-2.dll
Самоперемещается:
- из <Полный путь к вирусу> в <SYSTEM32>\wbem\525152100.xml
