La partie PowerShell de cette commande montre qu’elle cible spécifiquement les systèmes Windows. En poursuivant le décodage, nous obtenons la ligne suivante :

Nous avons pu télécharger wi.txt, ainsi que les fichiers de configuration et autres qui lui sont liés. Nous allons les analyser en détail.

Analyse détaillée du cryptomineur XMRig

Au début, nous voyons une commande PowerShell similaire à la charge utile avec une chaîne codée en base64 et une tâche planifiée avec une URL Pastebin.
La chaîne base64 se décode en un téléchargement PowerShell et une instruction IEX qui contient une URL Pastebin. Les deux URL Pastebin n’ont aucun contenu : aucune commande n’est exécutée et il n’y a pas d’activité similaire. Nous pensons que ces URL servent en quelque sorte d’indicateurs de la fréquence d’exécution de "wi.txt", le nom de fichier de la charge utile d’origine. D’après les noms de fichiers des éléments copiés, "wi_wmi" et "wi_sch", ils remplissent des fonctions spécifiques dans chaque cas. Le premier montre que les commandes WMI se sont bien exécutées, tandis que le second indique la fréquence d’exécution de la tâche programmée. Ces chiffres indiquent combien de systèmes ont pu être infectés.

S’ensuit la suppression complète des concurrents. La fonction nommée "Killer" répertorie plusieurs méthodes permettant d’identifier et de supprimer tout mineur concurrent fonctionnant sur le système. Elle recherche des mineurs :
• par noms de services connus ,
• par noms de processus connus ;
• en fonction des tâches programmées connues qu’utilisent d’autres mineurs ;
• en identifiant les mineurs concurrents par les arguments de la ligne de commande ;
• en utilisant netstat pour identifier les mineurs concurrents par les connexions ouvertes.