Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdater' = 'c:\Ufasoft\Coin\start.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\Ufasoft\Coin\coin-miner.exe' -a scrypt -o stratum+tcp://gigahash.wemineltc.com:3334 -u sarah.sara -p 12345 -T 100 -t 4 -g No
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "C:\Ufasoft\Coin\run.vbs"
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp1.tmp.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- C:\Ufasoft\Coin\scrypt.cl
- C:\Ufasoft\Coin\phatk.cl
- C:\Ufasoft\Coin\run.vbs
- C:\Ufasoft\Coin\start.exe
- %TEMP%\tmp1.tmp.bat
- C:\Ufasoft\Coin\usft_ext.dll
- C:\Ufasoft\Coin\coineng.dll
- C:\Ufasoft\Coin\coin-miner.exe
- C:\Ufasoft\Coin\coinutil.dll
- C:\Ufasoft\Coin\mpir.dll
- C:\Ufasoft\Coin\miner.dll
Удаляет следующие файлы:
- %TEMP%\tmp1.tmp.bat
Сетевая активность:
Подключается к:
- 'gi#####h.wemineltc.com':3334
UDP:
- DNS ASK gi#####h.wemineltc.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
