Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Explorer' = '%WINDIR%\Explorer.EXE'
- <SYSTEM32>\dllcache\explorer.exe файлом <SYSTEM32>\dllcache\explorer.exe.new
- %TEMP%\[a0732187050030ae399b241436565e64] файлом %WINDIR%\Explorer.EXE
- <SYSTEM32>\dllcache\explorer.exe.new
- '<Текущая директория>\cwo362y.exe'
- '%WINDIR%\explorer.exe'
- %WINDIR%\explorer.exe
- %WINDIR%\Explorer.EXE
- <Текущая директория>\cwo362y.exe
- %WINDIR%\explorer.exe
- <SYSTEM32>\dllcache\explorer.exe.new в <SYSTEM32>\dllcache\explorer.exe
- <Текущая директория>\cwo362y.exe в %TEMP%\_@8.tmp
- <Текущая директория>\cwo362y.exe в %TEMP%\_@9.tmp
- <Текущая директория>\cwo362y.exe в %TEMP%\_@B.tmp
- <Текущая директория>\cwo362y.exe в %TEMP%\_@A.tmp
- <Текущая директория>\cwo362y.exe в %TEMP%\_@7.tmp
- <Текущая директория>\cwo362y.exe в %TEMP%\_@3.tmp
- <Текущая директория>\cwo362y.exe в %TEMP%\_@2.tmp
- <Текущая директория>\cwo362y.exe в %TEMP%\_@4.tmp
- <Текущая директория>\cwo362y.exe в %TEMP%\_@6.tmp
- <Текущая директория>\cwo362y.exe в %TEMP%\_@5.tmp
- из <Полный путь к вирусу> в %TEMP%\_@1.tmp
- 'localhost':2014
- '12#.#25.114.144':80
- 12#.#25.114.144/absrlt/item/a47f61d3297bd8e893a974e8
- DNS ASK hi.##idu.com