Technical Information
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Intelupdate' = '%APPDATA%\Intel\ddddd3'
- '%APPDATA%\Intel\Winlogin.exe' /pid=5008
- '%APPDATA%\Intel\Winlogin.exe' /pid=6120
- '%APPDATA%\Intel\Winlogin.exe' /pid=2872
- '%APPDATA%\Intel\Winlogin.exe' /pid=5580
- '%APPDATA%\Intel\Winlogin.exe' /pid=1692
- '%APPDATA%\Intel\Winlogin.exe' /pid=3656
- '%APPDATA%\Intel\Winlogin.exe' /pid=6068
- '%APPDATA%\Intel\Winlogin.exe' /pid=5380
- '%APPDATA%\Intel\Winlogin.exe' /pid=2732
- '%APPDATA%\Intel\Winlogin.exe' /pid=2936
- '%APPDATA%\Intel\Winlogin.exe' /pid=5768
- '%APPDATA%\Intel\Winlogin.exe' /pid=5340
- '%APPDATA%\Intel\Winlogin.exe' /pid=5068
- '%APPDATA%\Intel\Winlogin.exe' /pid=4164
- '%APPDATA%\Intel\Winlogin.exe' /pid=4968
- '%APPDATA%\Intel\Winlogin.exe' /pid=2364
- '%APPDATA%\Intel\Winlogin.exe' /pid=3484
- '%APPDATA%\Intel\Winlogin.exe' /pid=4940
- '%APPDATA%\Intel\Winlogin.exe' /pid=3684
- '%APPDATA%\Intel\Winlogin.exe' /pid=5220
- '%APPDATA%\Intel\Winlogin.exe' /pid=5280
- '%APPDATA%\Intel\Winlogin.exe' /pid=4616
- '%APPDATA%\Intel\Winlogin.exe' /pid=4960
- '%APPDATA%\Intel\Winlogin.exe' /pid=5680
- '%APPDATA%\Intel\Winlogin.exe' /pid=2752
- '%APPDATA%\Intel\Winlogin.exe' /pid=7412
- '%APPDATA%\Intel\Winlogin.exe' /pid=7556
- '%APPDATA%\Intel\Winlogin.exe' /pid=7552
- '%APPDATA%\Intel\Winlogin.exe' /pid=7056
- '%APPDATA%\Intel\Winlogin.exe' /pid=7256
- '%APPDATA%\Intel\Winlogin.exe' /pid=7356
- '%APPDATA%\Intel\Winlogin.exe' /pid=7996
- '%APPDATA%\Intel\Winlogin.exe' /pid=8092
- '%APPDATA%\Intel\Winlogin.exe' /pid=8136
- '%APPDATA%\Intel\Winlogin.exe' /pid=7676
- '%APPDATA%\Intel\Winlogin.exe' /pid=7856
- '%APPDATA%\Intel\Winlogin.exe' /pid=7952
- '%APPDATA%\Intel\Winlogin.exe' /pid=6308
- '%APPDATA%\Intel\Winlogin.exe' /pid=6324
- '%APPDATA%\Intel\Winlogin.exe' /pid=6428
- '%APPDATA%\Intel\Winlogin.exe' /pid=5448
- '%APPDATA%\Intel\Winlogin.exe' /pid=6332
- '%APPDATA%\Intel\Winlogin.exe' /pid=6184
- '%APPDATA%\Intel\Winlogin.exe' /pid=6764
- '%APPDATA%\Intel\Winlogin.exe' /pid=6808
- '%APPDATA%\Intel\Winlogin.exe' /pid=6976
- '%APPDATA%\Intel\Winlogin.exe' /pid=6444
- '%APPDATA%\Intel\Winlogin.exe' /pid=6588
- '%APPDATA%\Intel\Winlogin.exe' /pid=6728
- '%APPDATA%\Intel\Winlogin.exe' /pid=4144
- '%APPDATA%\Intel\Winlogin.exe' /pid=5868
- '%APPDATA%\Intel\Winlogin.exe' /pid=5248
- '%APPDATA%\Intel\Winlogin.exe' /pid=5828
- '%APPDATA%\Intel\Winlogin.exe' /pid=3556
- '%APPDATA%\Intel\Winlogin.exe' /pid=2696
- '%APPDATA%\Intel\Winlogin.exe' /pid=4716
- '%APPDATA%\Intel\Winlogin.exe' /pid=5940
- '%APPDATA%\Intel\Winlogin.exe' /pid=4336
- '%APPDATA%\Intel\Winlogin.exe' /pid=4656
- '%APPDATA%\Intel\Winlogin.exe' /pid=5100
- '%APPDATA%\Intel\Winlogin.exe' /pid=2436
- '%APPDATA%\Intel\Winlogin.exe' /pid=5760
- '%APPDATA%\Intel\Winlogin.exe' /pid=2760
- '%APPDATA%\Intel\Winlogin.exe' /pid=3056
- '%APPDATA%\Intel\Winlogin.exe' /pid=4236
- '%APPDATA%\Intel\Winlogin.exe' -a sha256 -g no -o eu.triplemining.com:8344 -u executioner_executioner -p kala123 -t 2
- '%APPDATA%\Intel\Winlogin.exe' /pid=4864
- '%APPDATA%\Intel\Winlogin.exe' /pid=5060
- '%APPDATA%\Intel\Winlogin.exe' /pid=3856
- '%APPDATA%\Intel\Winlogin.exe' /pid=4436
- '%APPDATA%\Intel\Winlogin.exe' /pid=4364
- '%APPDATA%\Intel\Winlogin.exe' /pid=4736
- '%APPDATA%\Intel\Winlogin.exe' /pid=2452
- '%APPDATA%\Intel\Winlogin.exe' /pid=3956
- '%APPDATA%\Intel\Winlogin.exe' /pid=5440
- '%APPDATA%\Intel\Winlogin.exe' /pid=2824
- '%APPDATA%\Intel\Winlogin.exe' /pid=6048
- '%APPDATA%\Intel\Winlogin.exe' /pid=5780
- '%APPDATA%\Intel\Winlogin.exe' /pid=5460
- '%APPDATA%\Intel\Winlogin.exe' /pid=6088
- '%APPDATA%\Intel\Winlogin.exe' /pid=2616
- '%APPDATA%\Intel\Winlogin.exe' /pid=2652
- '%APPDATA%\Intel\Winlogin.exe' /pid=3376
- '%APPDATA%\Intel\Winlogin.exe' /pid=5840
- '%APPDATA%\Intel\Winlogin.exe' /pid=4904
- '%APPDATA%\Intel\Winlogin.exe' /pid=4156
- '%APPDATA%\Intel\Winlogin.exe' /pid=4024
- '%APPDATA%\Intel\Winlogin.exe' /pid=4664
- '%APPDATA%\Intel\Winlogin.exe' /pid=3584
- '%APPDATA%\Intel\Winlogin.exe' /pid=3876
- '%APPDATA%\Intel\Winlogin.exe' /pid=3356
- '%APPDATA%\Intel\Winlogin.exe' /pid=3156
- '%APPDATA%\Intel\Winlogin.exe' /pid=3436
- '%APPDATA%\Intel\Winlogin.exe' /pid=5568
- '%APPDATA%\Intel\Winlogin.exe' /pid=6028
- '%APPDATA%\Intel\Winlogin.exe' /pid=2476
- '%APPDATA%\Intel\Winlogin.exe' /pid=4544
- '<SYSTEM32>\cmd.exe' (downloaded from the Internet)
- '%APPDATA%\Intel\Winlogin.exe' (downloaded from the Internet)
- '<SYSTEM32>\attrib.exe' -s -h %APPDATA%\Intel
- <SYSTEM32>\cmd.exe
- %APPDATA%\Intel\phatk.cl
- %APPDATA%\Intel\miner.dll
- %APPDATA%\Intel\usft_ext.dll
- %APPDATA%\Intel\phatk.ptx
- %APPDATA%\Intel\coinutil.dll
- %APPDATA%\Intel\bdb.dll
- %APPDATA%\Intel\Winlogin.exe
- %APPDATA%\Intel\btc-evergreen.il
- %APPDATA%\Intel\btc.il
- from <Full path to virus> to %APPDATA%\Intel\ddddd3
- '19#.#0.57.179':80
- 'wp#d':80
- 19#.#0.57.179/sov1001/miner.dll
- 19#.#0.57.179/sov1001/coinutil.dll
- 19#.#0.57.179/sov1001/phatk.cl
- 19#.#0.57.179/sov1001/usft_ext.dll
- 19#.#0.57.179/sov1001/phatk.ptx
- 19#.#0.57.179/sov1001/coin-miner.exe
- wp#d/wpad.dat
- 19#.#0.57.179/sov1001/bdb.dll
- 19#.#0.57.179/sov1001/btc-evergreen.il
- 19#.#0.57.179/sov1001/btc.il
- DNS ASK wp#d
- ClassName: 'Indicator' WindowName: '(null)'