Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WinWOW64Services' = '%APPDATA%\WinServices\vstools.exe'
- vstools.exe
- %APPDATA%\MediaCache\7EBA.vbs
- %APPDATA%\MediaCache\7EBA502D.ps1
- %APPDATA%\WinServices\vstools.exe
- <Полный путь к файлу>
- 'ke##300.com':80
- 'ke###446.com':80
- 'ke###818374.com':80
- http://ke##300.com/new/gate.php
- http://ke###446.com/new/gate.php
- http://ke###818374.com/new/gate.php
- DNS ASK ke##300.com
- DNS ASK ke###446.com
- DNS ASK ke###818374.com
- '<Полный путь к файлу>'
- '<SYSTEM32>\wscript.exe' %APPDATA%\MediaCache\7EBA.vbs
- '%APPDATA%\WinServices\vstools.exe' <Полный путь к файлу>
- '<SYSTEM32>\schtasks.exe' /create /tn "WinWOW64Services" /tr "wscript.exe \"%APPDATA%\MediaCache\7EBA.vbs\"" /st 00:01 /du 9999:59 /sc daily /ri 5 /f