Техническая информация
- %HOMEPATH%\Start Menu\Programs\Startup\BootSys.url
- '' (загружен из сети Интернет)
- <SYSTEM32>\usrmlnka.exe
- <SYSTEM32>\spoolsv.exe
- %TEMP%\wxzafd4t.0.cs
- %TEMP%\wxzafd4t.cmdline
- %TEMP%\wxzafd4t.out
- C:\23ef5514-3059-436f-a4a7-4cefaab20eb1\fa6a3.exe
- %TEMP%\wxzafd4t.cmdline
- %TEMP%\wxzafd4t.0.cs
- %TEMP%\wxzafd4t.out
- <Полный путь к файлу> в C:\23ef5514-3059-436f-a4a7-4cefaab20eb1\fa6a3.exe
- 'wp#d':80
- 'ip###ger.com':443
- '10#.#34.34.48':80
- http://11#.#11.111.1/wpad.dat via wp#d
- http://10#.#34.34.48/builds/951be2500ae83c69d907ddfed73fe3c4/Gefest.exe
- DNS ASK wp#d
- DNS ASK ip###ger.com
- '<SYSTEM32>\replace.exe' /create /tn 23ef5514-3059-436f-a4a7-4cefaab20eb1 /tr "rundll32.exe url.dll,OpenURLA "\23ef5514-3059-436f-a4a7-4cefaab20eb1\fa6a3.exe"" /st 00:00 /sc daily /du 9999:59 /ri 10 /f
- '<SYSTEM32>\usrmlnka.exe' /create /tn 23ef5514-3059-436f-a4a7-4cefaab20eb1 /tr "rundll32.exe url.dll,OpenURLA "\23ef5514-3059-436f-a4a7-4cefaab20eb1\fa6a3.exe"" /st 00:00 /sc daily /du 9999:59 /ri 10 /f
- '<SYSTEM32>\spoolsv.exe'
- '%WINDIR%\Microsoft.NET\Framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\wxzafd4t.cmdline"