TROJ_COINMINE.G

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

No obstante, de este modo no se podrá acceder a los sitios mencionados.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• D:\images.scr
• F:\images.scr
• %System Root%\images.scr

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Infiltra los archivos siguientes:

• %Application Data%\Images\image.exe
• %User Temp%\temp.txt
• %User Temp%\nst726A.tmp\inetc.dll
• %Application Data%\Images\NsCpuCNMiner32.exe
• %Application Data%\Images\NsCpuCNMiner64.exe
• %Application Data%\Images\NsGpuCNMiner.exe
• %Application Data%\Images\Data.bin
• %Application Data%\Images\pools.txt
• %Application Data%\Images\tmp.ini
• %Application Data%\Images\temp.txt
• %User Temp%\nst726A.tmp\System.dll

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

Agrega los procesos siguientes:

• %Application Data%\Images\image.exe SW_HIDE
• %Application Data%\Images\NsCpuCNMiner{System version}.exe" -dbg -1 -o stratum+tcp://mine.{BLOCKED}pool.com:3333 -u 44puJ9e27jyKc1et48J7SZLQ4pDcos96c6u84vcwHgCCce1TYqXxzpyR3gY793D9mKGEY7WjtC6TKA7eDbtvfrgGHoDNBGx -p x
• %Application Data%\Images\NsGpuCNMiner.exe" -dbg -1 -o stratum+tcp://mine.{BLOCKED}pool.com:3333 -u 44puJ9e27jyKc1et48J7SZLQ4pDcos96c6u84vcwHgCCce1TYqXxzpyR3gY793D9mKGEY7WjtC6TKA7eDbtvfrgGHoDNBGx -p x

Crea las carpetas siguientes:

• %User Temp%

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Técnica de inicio automático

Infiltra el siguiente acceso directo dirigido a su copia en la carpeta de inicio del usuario para que se ejecute automáticamente cada vez que arranque el sistema:

• %User Startup%\image.lnk

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows 2003(32-bit), XP y 2000(32-bit) en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio y en en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup).

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Malware name} = %Application Data%\Images\image.exe

Rutina de descarga

No obstante, de este modo no se podrá acceder a los sitios mencionados.

Robo de información

Acepta los siguientes parámetros:

• /S
• /NCRC
• /D={Directory}

Otros detalles

Hace lo siguiente:

• It connects to the following mining pool:
  • stratum+tcp://mine.{BLOCKED}poo.com:3333