Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Microsoft System Kernel Runtime' = '"%TEMP%\<Имя вируса>.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\winsystemx86.exe' -a quark -o stratum+tcp://qrk.coinmine.pl:6010 -p 1 -u docindetectable.docindetectable -p docmineo -x http://21#.###.195.249:8080
- '%TEMP%\<Имя вируса>.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\eeeeeee.dll
- %TEMP%\zlib1.dll
- %TEMP%\aaaaaaaaaa.dll
- %TEMP%\<Имя вируса>.exe
- %TEMP%\old.txt
- %TEMP%\winsystemx86.exe
Удаляет следующие файлы:
- %TEMP%\old.txt
Самоудаляется.
Сетевая активность:
Подключается к:
- 'qr#.#oinmine.pl':6010
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK qr#.#oinmine.pl
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
