ミナス – 複雑化への道中 from securelist.com

8. その DLL は、中断された dllhost.exe プロセスを作成します。
ペイロードは、PowerShell プロセスによって起動される .NET バイナリ (DLL) で、次の 3 つの引数を渡します。
3. 0: (複数のメイン ペイロード プロセスの作成をブロックするために使用されるパラメーター)。
ロードされた {SDBMHash(MachineName)}.dll DLL は、プロセスの名前が ilasm.exe であるかどうかを再度確認します。
その後、{SDBMHash(MachineName)}.dll は中断された dllhost.exe プロセスを作成し、セクションを作成して、それを dllhost.exe プロセスにマップし、以前に読み取られて復号化されたファイル (マイナー コンポーネントを含む raw ローダー) を書き込みます。
最後に重要なことですが、dllhost.exe は、XMRig マイナー (DLL ファイル形式の XMRig マイナーのアセンブリ) をプロセス メモリにマップする復号化された raw ローダーに制御フローを渡し、リフレクティブ ロードを使用して起動します。