Technical Information
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = '%APPDATA%\miner\stacyXXX2.exe'
- '%APPDATA%\miner\explorer.exe' /pid=7732
- '%APPDATA%\miner\explorer.exe' /pid=7268
- '%APPDATA%\miner\explorer.exe' /pid=7376
- '%APPDATA%\miner\explorer.exe' /pid=6168
- '%APPDATA%\miner\explorer.exe' /pid=10232
- '%APPDATA%\miner\explorer.exe' /pid=7808
- '%APPDATA%\miner\explorer.exe' /pid=6228
- '%APPDATA%\miner\explorer.exe' /pid=3916
- '%APPDATA%\miner\explorer.exe' /pid=6676
- '%APPDATA%\miner\explorer.exe' /pid=6352
- '%APPDATA%\miner\explorer.exe' /pid=6292
- '%APPDATA%\miner\explorer.exe' /pid=6752
- '%APPDATA%\miner\explorer.exe' /pid=7528
- '%APPDATA%\miner\explorer.exe' /pid=8396
- '%APPDATA%\miner\explorer.exe' /pid=6868
- '%APPDATA%\miner\explorer.exe' /pid=8552
- '%APPDATA%\miner\explorer.exe' /pid=8408
- '%APPDATA%\miner\explorer.exe' /pid=8292
- '%APPDATA%\miner\explorer.exe' /pid=6428
- '%APPDATA%\miner\explorer.exe' /pid=7768
- '%APPDATA%\miner\explorer.exe' /pid=7628
- '%APPDATA%\miner\explorer.exe' /pid=8196
- '%APPDATA%\miner\explorer.exe' /pid=6872
- '%APPDATA%\miner\explorer.exe' /pid=6956
- '%APPDATA%\miner\explorer.exe' /pid=3188
- '%APPDATA%\miner\explorer.exe' /pid=6448
- '%APPDATA%\miner\explorer.exe' /pid=6328
- '%APPDATA%\miner\explorer.exe' /pid=6836
- '%APPDATA%\miner\explorer.exe' /pid=6632
- '%APPDATA%\miner\explorer.exe' /pid=6416
- '%APPDATA%\miner\explorer.exe' /pid=8152
- '%APPDATA%\miner\explorer.exe' /pid=8176
- '%APPDATA%\miner\explorer.exe' /pid=8092
- '%APPDATA%\miner\explorer.exe' /pid=6256
- '%APPDATA%\miner\explorer.exe' /pid=2868
- '%APPDATA%\miner\explorer.exe' /pid=3468
- '%APPDATA%\miner\explorer.exe' /pid=7708
- '%APPDATA%\miner\explorer.exe' /pid=7896
- '%APPDATA%\miner\explorer.exe' /pid=7488
- '%APPDATA%\miner\explorer.exe' /pid=8008
- '%APPDATA%\miner\explorer.exe' /pid=8132
- '%APPDATA%\miner\explorer.exe' /pid=7788
- '%APPDATA%\miner\explorer.exe' /pid=7328
- '%APPDATA%\miner\explorer.exe' /pid=7068
- '%APPDATA%\miner\explorer.exe' /pid=6828
- '%APPDATA%\miner\explorer.exe' /pid=7536
- '%APPDATA%\miner\explorer.exe' /pid=7456
- '%APPDATA%\miner\explorer.exe' /pid=7716
- '%APPDATA%\miner\explorer.exe' /pid=8608
- '%APPDATA%\miner\explorer.exe' /pid=9548
- '%APPDATA%\miner\explorer.exe' /pid=9616
- '%APPDATA%\miner\explorer.exe' /pid=9376
- '%APPDATA%\miner\explorer.exe' /pid=208
- '%APPDATA%\miner\explorer.exe' /pid=10176
- '%APPDATA%\miner\explorer.exe' /pid=9708
- '%APPDATA%\miner\explorer.exe' /pid=8976
- '%APPDATA%\miner\explorer.exe' /pid=9096
- '%APPDATA%\miner\explorer.exe' /pid=8828
- '%APPDATA%\miner\explorer.exe' /pid=9108
- '%APPDATA%\miner\explorer.exe' /pid=9276
- '%APPDATA%\miner\explorer.exe' /pid=9128
- '%APPDATA%\miner\explorer.exe' /pid=8476
- '%APPDATA%\miner\explorer.exe' /pid=8308
- '%APPDATA%\miner\explorer.exe' /pid=8316
- '%APPDATA%\miner\explorer.exe' /pid=9116
- '%APPDATA%\miner\explorer.exe' /pid=8276
- '%APPDATA%\miner\explorer.exe' /pid=9176
- '%APPDATA%\miner\explorer.exe' /pid=7272
- '%APPDATA%\miner\explorer.exe' /pid=10188
- '%APPDATA%\miner\explorer.exe' /pid=10152
- '%APPDATA%\miner\explorer.exe' /pid=8488
- '%APPDATA%\miner\explorer.exe' /pid=8576
- '%APPDATA%\miner\explorer.exe' /pid=10168
- '%APPDATA%\miner\explorer.exe' /pid=9592
- '%APPDATA%\miner\explorer.exe' /pid=9492
- '%APPDATA%\miner\explorer.exe' /pid=9232
- '%APPDATA%\miner\explorer.exe' /pid=9828
- '%APPDATA%\miner\explorer.exe' /pid=9692
- '%APPDATA%\miner\explorer.exe' /pid=9792
- '%APPDATA%\miner\explorer.exe' /pid=8852
- '%APPDATA%\miner\explorer.exe' /pid=8952
- '%APPDATA%\miner\explorer.exe' /pid=8732
- '%APPDATA%\miner\explorer.exe' /pid=9332
- '%APPDATA%\miner\explorer.exe' /pid=8992
- '%APPDATA%\miner\explorer.exe' /pid=9172
- '%APPDATA%\miner\explorer.exe' /pid=8428
- '%APPDATA%\miner\explorer.exe' /pid=6412
- '%APPDATA%\miner\explorer.exe' /pid=7608
- '%APPDATA%\miner\explorer.exe' /pid=8728
- '%APPDATA%\miner\explorer.exe' /pid=8696
- '%APPDATA%\miner\explorer.exe' /pid=8376
- '%APPDATA%\miner\explorer.exe' /pid=10172
- '%APPDATA%\miner\explorer.exe' /pid=9952
- '%APPDATA%\miner\explorer.exe' /pid=10052
- '%APPDATA%\miner\explorer.exe' /pid=6576
- '%APPDATA%\miner\explorer.exe' /pid=200
- '%APPDATA%\miner\explorer.exe' /pid=8032
- '%APPDATA%\miner\explorer.exe' /pid=7888
- '%APPDATA%\miner\explorer.exe' /pid=4764
- '%APPDATA%\miner\explorer.exe' /pid=2928
- '%APPDATA%\miner\explorer.exe' /pid=5804
- '%APPDATA%\miner\explorer.exe' /pid=752
- '%APPDATA%\miner\explorer.exe' /pid=2988
- '%APPDATA%\miner\explorer.exe' /pid=5104
- '%APPDATA%\miner\explorer.exe' /pid=5556
- '%APPDATA%\miner\explorer.exe' /pid=5876
- '%APPDATA%\miner\explorer.exe' /pid=4524
- '%APPDATA%\miner\explorer.exe' /pid=5624
- '%APPDATA%\miner\explorer.exe' /pid=5836
- '%APPDATA%\miner\explorer.exe' /pid=5884
- '%APPDATA%\miner\explorer.exe' /pid=4152
- '%APPDATA%\miner\explorer.exe' /pid=4544
- '%APPDATA%\miner\explorer.exe' /pid=5044
- '%APPDATA%\miner\explorer.exe' /pid=4536
- '%APPDATA%\miner\explorer.exe' /pid=4344
- '%APPDATA%\miner\explorer.exe' /pid=4736
- '%APPDATA%\miner\explorer.exe' /pid=5784
- '%APPDATA%\miner\explorer.exe' /pid=3848
- '%APPDATA%\miner\explorer.exe' /pid=4556
- '%APPDATA%\miner\explorer.exe' /pid=3748
- '%APPDATA%\miner\explorer.exe' /pid=1416
- '%APPDATA%\miner\explorer.exe' /pid=6140
- '%APPDATA%\miner\explorer.exe' /pid=3316
- '%APPDATA%\miner\explorer.exe' /pid=4140
- '%APPDATA%\miner\explorer.exe' /pid=2744
- '%APPDATA%\miner\explorer.exe' /pid=3088
- '%APPDATA%\miner\explorer.exe' /pid=4924
- '%APPDATA%\miner\explorer.exe' /pid=4240
- '%APPDATA%\miner\explorer.exe' /pid=2784
- '%APPDATA%\miner\explorer.exe' -a scrypt -g no -o http://23.##.75.30:8332 -u Chronine.pool -p pool -t 2
- '%APPDATA%\miner\explorer.exe' /pid=2812
- '%APPDATA%\miner\explorer.exe' /pid=4744
- '%APPDATA%\miner\explorer.exe' /pid=5056
- '%APPDATA%\miner\explorer.exe' /pid=6104
- '%APPDATA%\miner\explorer.exe' /pid=5076
- '%APPDATA%\miner\explorer.exe' /pid=2848
- '%APPDATA%\miner\explorer.exe' /pid=4356
- '%APPDATA%\miner\explorer.exe' /pid=4644
- '%APPDATA%\miner\explorer.exe' /pid=4944
- '%APPDATA%\miner\explorer.exe' /pid=3168
- '%APPDATA%\miner\explorer.exe' /pid=5324
- '%APPDATA%\miner\explorer.exe' /pid=5504
- '%APPDATA%\miner\explorer.exe' /pid=4664
- '%APPDATA%\miner\explorer.exe' /pid=3048
- '%APPDATA%\miner\explorer.exe' /pid=3888
- '%APPDATA%\miner\explorer.exe' /pid=5976
- '%APPDATA%\miner\explorer.exe' /pid=6432
- '%APPDATA%\miner\explorer.exe' /pid=6312
- '%APPDATA%\miner\explorer.exe' /pid=6528
- '%APPDATA%\miner\explorer.exe' /pid=6812
- '%APPDATA%\miner\explorer.exe' /pid=6652
- '%APPDATA%\miner\explorer.exe' /pid=3148
- '%APPDATA%\miner\explorer.exe' /pid=5276
- '%APPDATA%\miner\explorer.exe' /pid=5256
- '%APPDATA%\miner\explorer.exe' /pid=2756
- '%APPDATA%\miner\explorer.exe' /pid=6152
- '%APPDATA%\miner\explorer.exe' /pid=5356
- '%APPDATA%\miner\explorer.exe' /pid=6772
- '%APPDATA%\miner\explorer.exe' /pid=7632
- '%APPDATA%\miner\explorer.exe' /pid=7512
- '%APPDATA%\miner\explorer.exe' /pid=7592
- '%APPDATA%\miner\explorer.exe' /pid=7892
- '%APPDATA%\miner\explorer.exe' /pid=7728
- '%APPDATA%\miner\explorer.exe' /pid=7408
- '%APPDATA%\miner\explorer.exe' /pid=6972
- '%APPDATA%\miner\explorer.exe' /pid=7012
- '%APPDATA%\miner\explorer.exe' /pid=7292
- '%APPDATA%\miner\explorer.exe' /pid=7352
- '%APPDATA%\miner\explorer.exe' /pid=7132
- '%APPDATA%\miner\explorer.exe' /pid=5024
- '%APPDATA%\miner\explorer.exe' /pid=4976
- '%APPDATA%\miner\explorer.exe' /pid=3488
- '%APPDATA%\miner\explorer.exe' /pid=4844
- '%APPDATA%\miner\explorer.exe' /pid=6124
- '%APPDATA%\miner\explorer.exe' /pid=4444
- '%APPDATA%\miner\explorer.exe' /pid=6024
- '%APPDATA%\miner\explorer.exe' /pid=1452
- '%APPDATA%\miner\explorer.exe' /pid=5376
- '%APPDATA%\miner\explorer.exe' /pid=2860
- '%APPDATA%\miner\explorer.exe' /pid=5444
- '%APPDATA%\miner\explorer.exe' /pid=2476
- '%APPDATA%\miner\explorer.exe' /pid=5476
- '%APPDATA%\miner\explorer.exe' /pid=4132
- '%APPDATA%\miner\explorer.exe' /pid=4756
- '%APPDATA%\miner\explorer.exe' /pid=5756
- '%APPDATA%\miner\explorer.exe' /pid=5224
- '%APPDATA%\miner\explorer.exe' /pid=720
- '%APPDATA%\miner\explorer.exe' /pid=748
- '%APPDATA%\miner\explorer.exe' /pid=6136
- '%APPDATA%\miner\explorer.exe' /pid=5236
- '%APPDATA%\miner\explorer.exe' /pid=5604
- '%APPDATA%\miner\explorer.exe' /pid=756
- '%APPDATA%\miner\explorer.exe' /pid=3288
- '<SYSTEM32>\cmd.exe' (downloaded from the Internet)
- '%APPDATA%\miner\explorer.exe' (downloaded from the Internet)
- '<SYSTEM32>\attrib.exe' -s -h %APPDATA%\miner
- <SYSTEM32>\cmd.exe
- %APPDATA%\miner\phatk.cl
- %APPDATA%\miner\miner.dll
- %APPDATA%\miner\usft_ext.dll
- %APPDATA%\miner\phatk.ptx
- %APPDATA%\miner\coinutil.dll
- %APPDATA%\miner\bdb.dll
- %APPDATA%\miner\explorer.exe
- %APPDATA%\miner\btc-evergreen.il
- %APPDATA%\miner\btc.il
- from <Full path to virus> to %APPDATA%\miner\stacyXXX2.exe
- '19#.#0.57.179':80
- 'wp#d':80
- 19#.#0.57.179/sov1001/miner.dll
- 19#.#0.57.179/sov1001/coinutil.dll
- 19#.#0.57.179/sov1001/phatk.cl
- 19#.#0.57.179/sov1001/usft_ext.dll
- 19#.#0.57.179/sov1001/phatk.ptx
- 19#.#0.57.179/sov1001/coin-miner.exe
- wp#d/wpad.dat
- 19#.#0.57.179/sov1001/bdb.dll
- 19#.#0.57.179/sov1001/btc-evergreen.il
- 19#.#0.57.179/sov1001/btc.il
- DNS ASK wp#d
- ClassName: 'Indicator' WindowName: '(null)'