Technical Information
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Startup' = '%APPDATA%\Mining\Audio.exe'
- '%APPDATA%\Mining\system32.exe' /pid=3712
- '%APPDATA%\Mining\system32.exe' /pid=8172
- '%APPDATA%\Mining\system32.exe' /pid=6152
- '%APPDATA%\Mining\system32.exe' /pid=720
- '%APPDATA%\Mining\system32.exe' /pid=8180
- '%APPDATA%\Mining\system32.exe' /pid=7732
- '%APPDATA%\Mining\system32.exe' /pid=7576
- '%APPDATA%\Mining\system32.exe' /pid=8016
- '%APPDATA%\Mining\system32.exe' /pid=7816
- '%APPDATA%\Mining\system32.exe' /pid=6552
- '%APPDATA%\Mining\system32.exe' /pid=6492
- '%APPDATA%\Mining\system32.exe' /pid=6912
- '%APPDATA%\Mining\system32.exe' /pid=6720
- '%APPDATA%\Mining\system32.exe' /pid=6292
- '%APPDATA%\Mining\system32.exe' /pid=6432
- '%APPDATA%\Mining\system32.exe' /pid=6232
- '%APPDATA%\Mining\system32.exe' /pid=6960
- '%APPDATA%\Mining\system32.exe' /pid=6212
- '%APPDATA%\Mining\system32.exe' /pid=7736
- '%APPDATA%\Mining\system32.exe' /pid=6316
- '%APPDATA%\Mining\system32.exe' /pid=6276
- '%APPDATA%\Mining\system32.exe' /pid=6512
- '%APPDATA%\Mining\system32.exe' /pid=6456
- '%APPDATA%\Mining\system32.exe' /pid=5748
- '%APPDATA%\Mining\system32.exe' /pid=3112
- '%APPDATA%\Mining\system32.exe' /pid=4608
- '%APPDATA%\Mining\system32.exe' /pid=3300
- '%APPDATA%\Mining\system32.exe' /pid=5496
- '%APPDATA%\Mining\system32.exe' /pid=7336
- '%APPDATA%\Mining\system32.exe' /pid=7212
- '%APPDATA%\Mining\system32.exe' /pid=7456
- '%APPDATA%\Mining\system32.exe' /pid=7372
- '%APPDATA%\Mining\system32.exe' /pid=7116
- '%APPDATA%\Mining\system32.exe' /pid=6776
- '%APPDATA%\Mining\system32.exe' /pid=6576
- '%APPDATA%\Mining\system32.exe' /pid=6896
- '%APPDATA%\Mining\system32.exe' /pid=6736
- '%APPDATA%\Mining\system32.exe' /pid=6620
- '%APPDATA%\Mining\system32.exe' /pid=6572
- '%APPDATA%\Mining\system32.exe' /pid=7752
- '%APPDATA%\Mining\system32.exe' /pid=8132
- '%APPDATA%\Mining\system32.exe' /pid=7532
- '%APPDATA%\Mining\system32.exe' /pid=7872
- '%APPDATA%\Mining\system32.exe' /pid=8076
- '%APPDATA%\Mining\system32.exe' /pid=6740
- '%APPDATA%\Mining\system32.exe' /pid=6816
- '%APPDATA%\Mining\system32.exe' /pid=8880
- '%APPDATA%\Mining\system32.exe' /pid=8500
- '%APPDATA%\Mining\system32.exe' /pid=9040
- '%APPDATA%\Mining\system32.exe' /pid=8700
- '%APPDATA%\Mining\system32.exe' /pid=8680
- '%APPDATA%\Mining\system32.exe' /pid=6220
- '%APPDATA%\Mining\system32.exe' /pid=8284
- '%APPDATA%\Mining\system32.exe' /pid=8360
- '%APPDATA%\Mining\system32.exe' /pid=8296
- '%APPDATA%\Mining\system32.exe' /pid=7976
- '%APPDATA%\Mining\system32.exe' /pid=7900
- '%APPDATA%\Mining\system32.exe' /pid=7716
- '%APPDATA%\Mining\system32.exe' /pid=8052
- '%APPDATA%\Mining\system32.exe' /pid=7972
- '%APPDATA%\Mining\system32.exe' /pid=7512
- '%APPDATA%\Mining\system32.exe' /pid=7260
- '%APPDATA%\Mining\system32.exe' /pid=7200
- '%APPDATA%\Mining\system32.exe' /pid=7500
- '%APPDATA%\Mining\system32.exe' /pid=7112
- '%APPDATA%\Mining\system32.exe' /pid=7820
- '%APPDATA%\Mining\system32.exe' /pid=3360
- '%APPDATA%\Mining\system32.exe' /pid=7392
- '%APPDATA%\Mining\system32.exe' /pid=6916
- '%APPDATA%\Mining\system32.exe' /pid=6732
- '%APPDATA%\Mining\system32.exe' /pid=8116
- '%APPDATA%\Mining\system32.exe' /pid=4256
- '%APPDATA%\Mining\system32.exe' /pid=6148
- '%APPDATA%\Mining\system32.exe' /pid=8152
- '%APPDATA%\Mining\system32.exe' /pid=2744
- '%APPDATA%\Mining\system32.exe' /pid=5228
- '%APPDATA%\Mining\system32.exe' /pid=4236
- '%APPDATA%\Mining\system32.exe' /pid=6020
- '%APPDATA%\Mining\system32.exe' /pid=4336
- '%APPDATA%\Mining\system32.exe' /pid=5208
- '%APPDATA%\Mining\system32.exe' /pid=4528
- '%APPDATA%\Mining\system32.exe' /pid=5396
- '%APPDATA%\Mining\system32.exe' /pid=5348
- '%APPDATA%\Mining\system32.exe' /pid=4216
- '%APPDATA%\Mining\system32.exe' /pid=5932
- '%APPDATA%\Mining\system32.exe' /pid=4536
- '%APPDATA%\Mining\system32.exe' /pid=4616
- '%APPDATA%\Mining\system32.exe' /pid=6132
- '%APPDATA%\Mining\system32.exe' /pid=828
- '%APPDATA%\Mining\system32.exe' /pid=4556
- '%APPDATA%\Mining\system32.exe' /pid=3032
- '%APPDATA%\Mining\system32.exe' /pid=5648
- '%APPDATA%\Mining\system32.exe' /pid=756
- '%APPDATA%\Mining\system32.exe' /pid=5056
- '%APPDATA%\Mining\system32.exe' /pid=3632
- '%APPDATA%\Mining\system32.exe' /pid=4316
- '%APPDATA%\Mining\system32.exe' /pid=996
- '%APPDATA%\Mining\system32.exe' /pid=5568
- '%APPDATA%\Mining\system32.exe' -a sha256 -o http://16#################UBXK5REvofg5caZ:123@getwork.mining.eligius.st:8337 -T 83 -l yes
- '%APPDATA%\Mining\system32.exe' /pid=2720
- '%APPDATA%\Mining\system32.exe' /pid=2840
- '%APPDATA%\Mining\system32.exe' /pid=2832
- '%APPDATA%\Mining\system32.exe' /pid=5016
- '%APPDATA%\Mining\system32.exe' /pid=4828
- '%APPDATA%\Mining\system32.exe' /pid=2412
- '%APPDATA%\Mining\system32.exe' /pid=4836
- '%APPDATA%\Mining\system32.exe' /pid=5256
- '%APPDATA%\Mining\system32.exe' /pid=5356
- '%APPDATA%\Mining\system32.exe' /pid=5136
- '%APPDATA%\Mining\system32.exe' /pid=3732
- '%APPDATA%\Mining\system32.exe' /pid=1644
- '%APPDATA%\Mining\system32.exe' /pid=5336
- '%APPDATA%\Mining\system32.exe' /pid=4708
- '%APPDATA%\Mining\system32.exe' /pid=5596
- '%APPDATA%\Mining\system32.exe' /pid=4948
- '%APPDATA%\Mining\system32.exe' /pid=4636
- '%APPDATA%\Mining\system32.exe' /pid=3332
- '%APPDATA%\Mining\system32.exe' /pid=3252
- '%APPDATA%\Mining\system32.exe' /pid=3812
- '%APPDATA%\Mining\system32.exe' /pid=5728
- '%APPDATA%\Mining\system32.exe' /pid=4916
- '%APPDATA%\Mining\system32.exe' /pid=4936
- '%APPDATA%\Mining\system32.exe' /pid=3212
- '%APPDATA%\Mining\system32.exe' /pid=1596
- '%APPDATA%\Mining\system32.exe' /pid=3532
- '%APPDATA%\Mining\system32.exe' /pid=4808
- '%APPDATA%\Mining\system32.exe' /pid=4548
- '%APPDATA%\Mining\system32.exe' /pid=6040
- '%APPDATA%\Mining\system32.exe' /pid=6100
- '%APPDATA%\Mining\system32.exe' /pid=5736
- '%APPDATA%\Mining\system32.exe' /pid=3160
- '%APPDATA%\Mining\system32.exe' /pid=5696
- '%APPDATA%\Mining\system32.exe' /pid=5716
- '%APPDATA%\Mining\system32.exe' /pid=4848
- '%APPDATA%\Mining\system32.exe' /pid=4348
- '%APPDATA%\Mining\system32.exe' /pid=3312
- '%APPDATA%\Mining\system32.exe' /pid=3612
- '%APPDATA%\Mining\system32.exe' /pid=5048
- '%APPDATA%\Mining\system32.exe' /pid=2428
- '%APPDATA%\Mining\system32.exe' /pid=3200
- '%APPDATA%\Mining\system32.exe' /pid=4956
- '%APPDATA%\Mining\system32.exe' /pid=2820
- '%APPDATA%\Mining\system32.exe' /pid=4456
- '%APPDATA%\Mining\system32.exe' /pid=4156
- '%APPDATA%\Mining\system32.exe' /pid=5108
- '%APPDATA%\Mining\system32.exe' /pid=216
- '%APPDATA%\Mining\system32.exe' /pid=5476
- '%APPDATA%\Mining\system32.exe' (downloaded from the Internet)
- %APPDATA%\Mining\system32.exe
- from <Full path to virus> to %APPDATA%\Mining\Audio.exe
- '19#.#3.167.160':80
- 'wp#d':80
- 19#.#3.167.160/sil1001/UFA.exe
- wp#d/wpad.dat
- DNS ASK wp#d
- ClassName: 'Indicator' WindowName: '(null)'