Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Server' = '<SYSTEM32>\Server.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Server' = '<SYSTEM32>\Server.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'wuaclt.exe' = '%WINDIR%\14785\SYSTEMSHELL.exe'
- <Имя диска съемного носителя>:\autorun.inf
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<LS_APPDATA>\server.exe' = '<LS_APPDATA>\server.exe:*:Enabled:svchost'
- скрытых файлов
- Диспетчера задач (Taskmgr)
- <LS_APPDATA>\server.exe
- <SYSTEM32>\attrib.exe +S +H +R "F:\autorun.inf"
- <SYSTEM32>\attrib.exe +S +H +R "G:\autorun.inf"
- <SYSTEM32>\attrib.exe +S +H +R "J:\1044404.EXE"
- <SYSTEM32>\attrib.exe +S +H +R "E:\autorun.inf"
- <SYSTEM32>\attrib.exe +S +H +R "J:\autorun.inf"
- <SYSTEM32>\ping.exe 127.0.0.1 -n 60
- <SYSTEM32>\attrib.exe +S +H +R "H:\autorun.inf"
- <SYSTEM32>\attrib.exe +S +H +R "I:\autorun.inf"
- <SYSTEM32>\attrib.exe +S +H +R "I:\1044404.EXE"
- <SYSTEM32>\netsh.exe firewall add allowedprogram <LS_APPDATA>\server.exe svchost ENABLE ALL
- <SYSTEM32>\reg.exe ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v CheckedValue /t REG_DWORD /d "2" /f
- <SYSTEM32>\reg.exe ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v wuaclt.exe /t REG_SZ /d "%WINDIR%\14785\SYSTEMSHELL.exe" /f
- <SYSTEM32>\reg.exe ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d "1" /f
- <SYSTEM32>\attrib.exe +S +H +R "G:\1044404.EXE"
- <SYSTEM32>\attrib.exe +S +H +R "H:\1044404.EXE"
- <SYSTEM32>\attrib.exe +S +H +R "E:\1044404.EXE"
- <SYSTEM32>\attrib.exe +S +H +R "F:\1044404.EXE"
- <SYSTEM32>\Server.exe
- %WINDIR%\CRNJEUFU.txt
- %WINDIR%\14785\WINUPDATE.DLL
- <LS_APPDATA>\server.exe
- <LS_APPDATA>\RND_UnHide.bat
- %TEMP%\a51962.bat
- <Имя диска съемного носителя>:\autorun.inf
- %TEMP%\a51962.bat
- 'www.0c##ch.com':21
- DNS ASK www.0c##ch.com
- '<IP-адрес в локальной сети>':1036
- ClassName: 'Indicator' WindowName: ''