Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = 'userinit.exe,wscript.exe %WINDIR%\Bt\Bt.vbe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\Bt\cgminer.exe' -o http://po##.#0btc.com:8332 -u dosermen@yandex.ru -p ljcthvty
- '%WINDIR%\Bt\bt.exe'
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' import %WINDIR%\Bt\Config.reg
- '<SYSTEM32>\wscript.exe' "%WINDIR%\Bt\pagefiles.vbe"
- '<SYSTEM32>\wscript.exe' "%WINDIR%\Bt\bt.vbe"
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Bt\poclbm121016.cl
- %WINDIR%\Bt\scrypt121016.cl
- %WINDIR%\Bt\diakgcn121016.cl
- %WINDIR%\Bt\phatk121016.cl
- %WINDIR%\Bt\Config.reg
- %WINDIR%\Bt\pagefiles.vbe
- %WINDIR%\Bt\example.conf
- %WINDIR%\Bt\bt.vbe
- %WINDIR%\Bt\diablo121016.cl
- %WINDIR%\Bt\libcurl-4.dll
- %WINDIR%\Bt\libidn-11.dll
- %WINDIR%\Bt\bt.exe
- %WINDIR%\Bt\cgminer.exe
- %WINDIR%\Bt\pthreadGC2.dll
- %WINDIR%\Bt\zlib1.dll
- %WINDIR%\Bt\libpdcurses.dll
- %WINDIR%\Bt\libusb-1.0.dll
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
