Technical Information
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'manu' = '%APPDATA%\Roaming\ini\lan.exe'
- '%APPDATA%\Roaming\ini\ini.exe' /pid=10032
- '%APPDATA%\Roaming\ini\ini.exe' /pid=9984
- '%APPDATA%\Roaming\ini\ini.exe' /pid=9936
- '%APPDATA%\Roaming\ini\ini.exe' /pid=10176
- '%APPDATA%\Roaming\ini\ini.exe' /pid=10128
- '%APPDATA%\Roaming\ini\ini.exe' /pid=10080
- '%APPDATA%\Roaming\ini\ini.exe' /pid=9532
- '%APPDATA%\Roaming\ini\ini.exe' /pid=9484
- '%APPDATA%\Roaming\ini\ini.exe' /pid=9476
- '%APPDATA%\Roaming\ini\ini.exe' /pid=9888
- '%APPDATA%\Roaming\ini\ini.exe' /pid=9668
- '%APPDATA%\Roaming\ini\ini.exe' /pid=9620
- '%APPDATA%\Roaming\ini\ini.exe' /pid=9068
- '%APPDATA%\Roaming\ini\ini.exe' /pid=8876
- '%APPDATA%\Roaming\ini\ini.exe' /pid=8780
- '%APPDATA%\Roaming\ini\ini.exe' /pid=9656
- '%APPDATA%\Roaming\ini\ini.exe' /pid=9440
- '%APPDATA%\Roaming\ini\ini.exe' /pid=9356
- '%APPDATA%\Roaming\ini\ini.exe' /pid=8348
- '%APPDATA%\Roaming\ini\ini.exe' /pid=8236
- '%APPDATA%\Roaming\ini\ini.exe' /pid=10184
- '%APPDATA%\Roaming\ini\ini.exe' /pid=8684
- '%APPDATA%\Roaming\ini\ini.exe' /pid=8540
- '%APPDATA%\Roaming\ini\ini.exe' /pid=8404
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6720
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6624
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6524
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7108
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6912
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6816
- '%APPDATA%\Roaming\ini\ini.exe' /pid=8156
- '%APPDATA%\Roaming\ini\ini.exe' /pid=8108
- '%APPDATA%\Roaming\ini\ini.exe' /pid=8060
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6424
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6328
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6232
- '%APPDATA%\Roaming\ini\ini.exe' /pid=8224
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4040
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7012
- '%APPDATA%\Roaming\ini\ini.exe' /pid=9428
- '%APPDATA%\Roaming\ini\ini.exe' /pid=9380
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7448
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6304
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7316
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7220
- '%APPDATA%\Roaming\ini\ini.exe' /pid=8120
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7928
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7496
- '%APPDATA%\Roaming\ini\ini.exe' /pid=9768
- '%APPDATA%\Roaming\ini\ini.exe' /pid=12044
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11948
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11784
- '%APPDATA%\Roaming\ini\ini.exe' /pid=10324
- '%APPDATA%\Roaming\ini\ini.exe' /pid=12236
- '%APPDATA%\Roaming\ini\ini.exe' /pid=12140
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11012
- '%APPDATA%\Roaming\ini\ini.exe' /pid=10916
- '%APPDATA%\Roaming\ini\ini.exe' /pid=10820
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11664
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11472
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11376
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11900
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11232
- '%APPDATA%\Roaming\ini\ini.exe' /pid=10396
- '%APPDATA%\Roaming\ini\ini.exe' /pid=12020
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11760
- '%APPDATA%\Roaming\ini\ini.exe' /pid=12116
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11804
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11544
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11400
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11100
- '%APPDATA%\Roaming\ini\ini.exe' /pid=12068
- '%APPDATA%\Roaming\ini\ini.exe' /pid=10256
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11180
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11172
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11124
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11364
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11316
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11268
- '%APPDATA%\Roaming\ini\ini.exe' /pid=9488
- '%APPDATA%\Roaming\ini\ini.exe' /pid=8708
- '%APPDATA%\Roaming\ini\ini.exe' /pid=8372
- '%APPDATA%\Roaming\ini\ini.exe' /pid=9236
- '%APPDATA%\Roaming\ini\ini.exe' /pid=8804
- '%APPDATA%\Roaming\ini\ini.exe' /pid=10164
- '%APPDATA%\Roaming\ini\ini.exe' /pid=10116
- '%APPDATA%\Roaming\ini\ini.exe' /pid=12264
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11748
- '%APPDATA%\Roaming\ini\ini.exe' /pid=10724
- '%APPDATA%\Roaming\ini\ini.exe' /pid=10628
- '%APPDATA%\Roaming\ini\ini.exe' /pid=10532
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11508
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11460
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11412
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11700
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11604
- '%APPDATA%\Roaming\ini\ini.exe' /pid=11556
- '%APPDATA%\Roaming\ini\ini.exe' /pid=8012
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5108
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5060
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4984
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5252
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5204
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5156
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4332
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4284
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4236
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4936
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4888
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4864
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5800
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5724
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5676
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5988
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5940
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5848
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5444
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5348
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5300
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5628
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5576
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5496
- '%APPDATA%\Roaming\ini\ini.exe' /pid=2952
- '%APPDATA%\Roaming\ini\ini.exe' /pid=1552
- '%APPDATA%\Roaming\ini\ini.exe' /pid=644
- '%APPDATA%\Roaming\ini\ini.exe' /pid=1284
- '%APPDATA%\Roaming\ini\ini.exe' /pid=1872
- '%APPDATA%\Roaming\ini\ini.exe' /pid=3148
- '%APPDATA%\Roaming\ini\ini.exe' /pid=2928
- '%APPDATA%\Roaming\ini\ini.exe' /pid=1876
- '%APPDATA%\Roaming\ini\ini.exe' -a scrypt -g no -o stratum+tcp://global.wemineltc.com:3334 -u blackshadow.1 -p x -t 8
- '%APPDATA%\Roaming\ini\ini.exe' /pid=1748
- '%APPDATA%\Roaming\ini\ini.exe' /pid=984
- '%APPDATA%\Roaming\ini\ini.exe' /pid=2992
- '%APPDATA%\Roaming\ini\ini.exe' /pid=3716
- '%APPDATA%\Roaming\ini\ini.exe' /pid=3804
- '%APPDATA%\Roaming\ini\ini.exe' /pid=2820
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4188
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4140
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6140
- '%APPDATA%\Roaming\ini\ini.exe' /pid=3488
- '%APPDATA%\Roaming\ini\ini.exe' /pid=3296
- '%APPDATA%\Roaming\ini\ini.exe' /pid=3348
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4004
- '%APPDATA%\Roaming\ini\ini.exe' /pid=3900
- '%APPDATA%\Roaming\ini\ini.exe' /pid=3764
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6952
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6900
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7000
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7096
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7048
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6852
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6612
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6560
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6660
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6804
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6756
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7144
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7820
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7772
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7868
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7964
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7916
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7724
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7532
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7484
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7580
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7636
- '%APPDATA%\Roaming\ini\ini.exe' /pid=7588
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6512
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4068
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4948
- '%APPDATA%\Roaming\ini\ini.exe' /pid=3632
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5312
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5216
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5120
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6132
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6084
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6036
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4624
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4248
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4152
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5532
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5408
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5712
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5240
- '%APPDATA%\Roaming\ini\ini.exe' /pid=6404
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5396
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4876
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5740
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5640
- '%APPDATA%\Roaming\ini\ini.exe' /pid=4828
- '%APPDATA%\Roaming\ini\ini.exe' /pid=5048
- '<SYSTEM32>\attrib.exe' (downloaded from the Internet)
- '%APPDATA%\Roaming\ini\ini.exe' (downloaded from the Internet)
- '<SYSTEM32>\cmd.exe' (downloaded from the Internet)
- '<SYSTEM32>\attrib.exe' -a scrypt -g no -o stratum+tcp://global.wemineltc.com:3334 -u blackshadow.1 -p x -t 8
- '<SYSTEM32>\attrib.exe' -s -h %APPDATA%\Roaming\ini
- %APPDATA%\Roaming\ini\openssl.dll
- %APPDATA%\Roaming\ini\phatk.cl
- %APPDATA%\Roaming\ini\usft_ext.dll
- %APPDATA%\Roaming\ini\mpir.dll
- %APPDATA%\Roaming\ini\ini.exe
- %APPDATA%\Roaming\ini\coinutil.dll
- %APPDATA%\Roaming\ini\miner.dll
- from <Full path to virus> to %APPDATA%\Roaming\ini\lan.exe
- '19#.#0.57.179':80
- 19#.#0.57.179/sov_9292/openssl.dll
- 19#.#0.57.179/sov_9292/phatk.cl
- 19#.#0.57.179/sov_9292/usft_ext.dll
- 19#.#0.57.179/sov_9292/mpir.dll
- 19#.#0.57.179/sov_9292/coin-miner.exe
- 19#.#0.57.179/sov_9292/coinutil.dll
- 19#.#0.57.179/sov_9292/miner.dll
- ClassName: 'Indicator' WindowName: '(null)'