Техническая информация
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'Run' = '<Полный путь к файлу>'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'Run' = '%APPDATA%\samd\sony.exe'
- %APPDATA%\samd\amdcl.exe
- %APPDATA%\samd\sony.exe
- %APPDATA%\samd\config.json
- %TEMP%\tmp1.tmp.bat
- %APPDATA%\samd\amdcl.exe
- %APPDATA%\samd\sony.exe
- %APPDATA%\samd\config.json
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 5 /tn "WindowsDefenderTaskamd" /tr "powershell -ExecutionPolicy Bypass -windowstyle hidden -noexit -Command [Reflection.Assembly]::Load([System.Convert]::Frombase64Strin...
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp1.tmp.bat" "
- '<SYSTEM32>\attrib.exe' +s +a +h %APPDATA%\samd
- '<SYSTEM32>\attrib.exe' +s +a +h %APPDATA%\samd\*