Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'kbdgr132' = '<Полный путь к файлу>'
- %WINDIR%\Tasks\%USERNAME%.job
- скрытых файлов
- '<LS_APPDATA>\_foldernamelocalappdata_\kbdgr132.exe' arguments
- '<LS_APPDATA>\_foldernamelocalappdata_\kbdgr132.exe'
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe' <LS_APPDATA>\_foldernamelocalappdata_\kbdgr132.exe
- '<SYSTEM32>\schtasks.exe' /create /tn %USERNAME% /tr "\"<LS_APPDATA>\_foldernamelocalappdata_\kbdgr132.exe\" arguments" /sc MINUTE /mo 1 /RU SYSTEM
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\cmd.exe' /c timeout /t 5 && del "<Полный путь к файлу>" && del "<Полный путь к файлу>.config"
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe
- C:\Documents and Settings\NetworkService\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
- <LS_APPDATA>\_foldernamelocalappdata_\kbdgr132.exe.config
- <LS_APPDATA>\_foldernamelocalappdata_\kbdgr132.exe
- <LS_APPDATA>\_foldernamelocalappdata_\kbdgr132.exe
- 'pa##e.ee':80
- 'wp#d':80
- '21#.#83.58.4':5558
- http://pa##e.ee/r/3PV1T
- http://11#.#11.111.1/wpad.dat via wp#d
- DNS ASK pa##e.ee
- DNS ASK wp#d