Техническая информация
- <SYSTEM32>\tasks\defenderfire
- %APPDATA%\system.exe
- %APPDATA%\plan\javac.exe
- %TEMP%\tmp2d2.tmp.bat
- %APPDATA%\system.exe
- %TEMP%\tmp2d2.tmp.bat
- http://oc##.#odaddy.com//MEIwQDA%2BMDwwOjAJBgUrDgMCGgUABBQdI2%2BOBkuXH93foRUj4a7lAr4rGwQUOpqFBxBnKLbv9r0FQW4gwZTaD94CAQc%3D
- DNS ASK ra#.####ubusercontent.com
- DNS ASK po##.#upportxmr.com
- DNS ASK oc##.#odaddy.com
- '%APPDATA%\plan\javac.exe' -a cryptonight -o pool.supportxmr.com:80 -u 453ys3CV57Nbg2XCekHZdJRHyGd4uSB1oTuWEs5btLfsYDKE71XAmUVYybZXVBeZDS34zWxkWL6pNRNPPXHChq6CGwNa5j4 -p cpuz --av=0 -B --donate-level=1 -t 0
- '%APPDATA%\system.exe'
- '<SYSTEM32>\schtasks.exe' /create /tn Defenderfire /tr %APPDATA%\system.exe /sc minute /mo 1' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp2D2.tmp.bat" "' (со скрытым окном)
- '%APPDATA%\system.exe' ' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp44AA.tmp.bat" "' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp4F19.tmp.bat" "' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /tn Defenderfire /tr %APPDATA%\system.exe /sc minute /mo 1
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp2D2.tmp.bat" "
- '<SYSTEM32>\timeout.exe' /T 3
- '<SYSTEM32>\taskeng.exe' {0CBB7A96-E81D-4686-8A8B-C27B30F85E9D} S-1-5-21-1960123792-2022915161-3775307078-1001:fdgdwz\user:Interactive:[1]
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp44AA.tmp.bat" "
- '<SYSTEM32>\attrib.exe' +s +a +h %APPDATA%\system.exe
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp4F19.tmp.bat" "