Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'wiskala' = '%APPDATA%\Install\Host.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'NetWire' = '%APPDATA%\Install\Host.exe'
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{USF38Y43-573P-FTL8-6FC6-LRYETD2IXF3N}] 'StubPath' = '"%APPDATA%\Install\Host.exe"'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'wiskala' = '<Полный путь к файлу>'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'wiskala' = '<Полный путь к файлу>'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'wiskala' = '%APPDATA%\Install\Host.exe'
- '%APPDATA%\Install\Host.exe'
- '%APPDATA%\Install\Host.exe'
- '<SYSTEM32>\cmd.exe' /c echo [zoneTransfer]ZoneID = 2 > "%APPDATA%\Install\Host.exe":ZONE.identifier & exit
- '<SYSTEM32>\cmd.exe' /c echo [zoneTransfer]ZoneID = 2 > "<Полный путь к файлу>":ZONE.identifier & exit
- Host.exe
- %APPDATA%\Install\Host.exe:ZONE.identifier
- %APPDATA%\Install\.Identifier
- <Полный путь к файлу>:ZONE.identifier
- %APPDATA%\Install\Host.exe
- %APPDATA%\Install\.Identifier
- 'he######lord2016.no-ip.biz':1414
- DNS ASK he######lord2016.no-ip.biz