Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'ZBMLPTBPFBT' = '%ProgramFiles%\Nczu\colorcplszuttx.exe'
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\rdpclip.exe
- chrome.exe
- firefox.exe
- iexplore.exe
- opera.exe
- safari.exe
- ICQ.exe
- pidgin.exe
- skype.exe
- trillian.exe
- YahooMessenger.exe
- %TEMP%\nsl2.tmp\System.dll
- %TEMP%\9u
- %APPDATA%\22OP0TV7\22Ologim.jpeg
- 'or####onalto.com':80
- 'ar####ofumo.store':80
- 'yu###gtex.com':80
- 'sk######ouncil-illinois.net':80
- http://www.or####onalto.com/mx45/?lx################################################################################# via or####onalto.com
- http://www.ar####ofumo.store/mx45/?lx################################################################################# via ar####ofumo.store
- http://www.yu###gtex.com/mx45/?lx################################################################################# via yu###gtex.com
- http://www.sk######ouncil-illinois.net/mx45/?lx################################################################################# via sk######ouncil-illinois.net
- DNS ASK www.or####onalto.com
- DNS ASK www.ar####ofumo.store
- DNS ASK www.yu###gtex.com
- DNS ASK www.sk######ouncil-illinois.net
- '<Полный путь к файлу>'
- '<SYSTEM32>\rdpclip.exe'
- '<SYSTEM32>\cmd.exe' del "<Полный путь к файлу>"