Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WinWOW64Services' = '%APPDATA%\WinServices\vstools.exe'
- vstools.exe
- %APPDATA%\MediaCache\7EBA.vbs
- %APPDATA%\MediaCache\7EBA502D.ps1
- %APPDATA%\WinServices\vstools.exe
- <Полный путь к файлу>
- 'ap.###tingcheap.me':80
- http://ap.###tingcheap.me/sgadfh4wug3/srkjhgbh34ib35.php
- DNS ASK ap.###tingcheap.me
- '<Полный путь к файлу>'
- '<SYSTEM32>\wscript.exe' %APPDATA%\MediaCache\7EBA.vbs
- '%APPDATA%\WinServices\vstools.exe' <Полный путь к файлу>
- '<SYSTEM32>\schtasks.exe' /create /tn "WinWOW64Services" /tr "wscript.exe \"%APPDATA%\MediaCache\7EBA.vbs\"" /st 00:01 /du 9999:59 /sc daily /ri 5 /f