Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Defender' = '"%APPDATA%\windefend.exe"'
- [<HKLM>\SYSTEM\ControlSet001\Services\mcastserv] 'Start' = '00000002'
- '%WINDIR%\mcastsrv.exe' "<Полный путь к вирусу>"
- '%WINDIR%\mcastsrv.exe'
- '%APPDATA%\windefend.exe'
- '%APPDATA%\windefend.exe' (загружен из сети Интернет)
- '<SYSTEM32>\sc.exe' failure mcastserv actions= restart/5000/restart/10000/restart/20000 reset= 120
- '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 0x0 /f
- '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Windows Defender" /t REG_SZ /d "\"%APPDATA%\windefend.exe\"" /f
- %WINDIR%\mcastsrv.exe
- %APPDATA%\windefend.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\l[1]
- %WINDIR%\mcastsrv.exe
- %APPDATA%\windefend.exe
- 'sr#.##sanhussam.tk':5180
- 'dl.##opbox.com':443
- 'dl.##opbox.com':80
- dl.##opbox.com/u/84303577/l
- DNS ASK sr#.##sanhussam.tk
- DNS ASK dl.##opbox.com