Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'MCQ' = '"<Имя диска съемного носителя>:\Windows\system32\catroot2\crss.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'lCQ' = '"<SYSTEM32>\catroot2\crss.exe"'
- <SYSTEM32>\CatRoot2\crss.exe /start
- %WINDIR%\regedit.exe /s WM.reg
- <SYSTEM32>\attrib.exe +r +s +h "<SYSTEM32>\catroot2\\crss.exe"
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\WMPOK.bat" "
- <SYSTEM32>\CatRoot2\crss.exe
- <SYSTEM32>\CatRoot2\WM.reg
- %TEMP%\1.tmp\wm.reg
- %TEMP%\1.tmp\WMPOK.bat
- %TEMP%\1.tmp\crss.exe
- <SYSTEM32>\CatRoot2\crss.exe
- <SYSTEM32>\CatRoot2\WM.reg
- ClassName: 'RegEdit_RegEdit' WindowName: ''