SHA1:
- 8d1b96f1bfc9d353ce1f28d3c92aaed86b970cd7
Второе поколение майнера Trojan.BtcMine.1541. При запуске создает собственную копию в папке C:\ProgramData\ с именем Iostream.exe. Для обеспечения автоматического запуска создает в Планировщике задач Windows задание с именем \\Windows\\Recovery\\Cleaner.
Создает отдельный поток, в котором завершает все работающие процессы с именем Iostream.exe или с именем собственного исполняемого файла. В другом потоке отслеживает список работающих процессов. Если в системе обнаруживается запущенный процесс с именем с именем "Taskmgr.exe", "taskmgr.exe", "ProcessHacker.exe", "procexp.exe", "procmon.exe" или "anvir.exe", троянец завершает процесс "attrib.exe".
Создает отдельный поток, в котором отслеживает содержимое буфера обмена. Если он определяет наличие в буфере обмена номера кошелька криптовалюты, подменяет его на номер, хранящийся в теле троянца. Если покупатель майнера не оплатил модуль клиппера, данные заменяются номером кошелька продавца троянца или автора вредоносной программы.
Затем троянец проверяет наличие работающего процесса с именем "attrib.exe", при обнаружении такового завершает свою работу. В случае отсутствия такого процесса в списке работающих, троянец запускает приложение C:\Windows\System32\attrib.exe с флагом CREATE_SUSPENDED и встраивает в него модифицированный майнер xmrig с зашитыми в его тело параметрами запуска.
