Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'rdsaddin' = '"%APPDATA%\Microsoft\Windows\WSUS\rdsaddin.exe"'
- %APPDATA%\Microsoft\Windows\WSUS\rdsaddin.exe "<Полный путь к вирусу>"
- <SYSTEM32>\svchost.exe -k netsvcs
- %APPDATA%\Microsoft\SystemCertificates\My\Certificates\EEFE3D8E44FD8787B2AE289ECF054A2DC3DBEB59
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\e44e866714aa3e307be4dba5e656fe5d_23ef5514-3059-436f-a4a7-4cefaab20eb1
- C:\System Volume Information\EFS0.LOG
- %APPDATA%\Microsoft\Windows\WSUS\EFS0.TMP:minidump.zip
- %APPDATA%\Microsoft\Windows\WSUS\EFS0.TMP
- %APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\Preferred
- %APPDATA%\Microsoft\Windows\WSUS\rdsaddin.exe
- <Полный путь к вирусу>:minidump.zip
- %APPDATA%\Microsoft\Windows\WSUS\rdsaddin.exe:minidump.zip
- %APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\9f34c30a-05c4-4a85-b54e-0e6b622e35b2
- C:\System Volume Information\EFS0.LOG
- %APPDATA%\Microsoft\Windows\WSUS\EFS0.TMP
- %APPDATA%\Microsoft\Windows\WSUS\EFS0.TMP:minidump.zip
- '91.##7.153.180':443
- ClassName: 'Indicator' WindowName: ''