Техническая информация
- <SYSTEM32>\tasks\apprunlog
- %APPDATA%\sbr_ii.ps1
- %APPDATA%\3b885d\wory5nb1dat3vduyxfuis8.ps1
- %TEMP%\pdf
- %TEMP%\pdf.pdf
- %APPDATA%\sbr_ii.ps1
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -win 1 -ep bypass -File %APPDATA%\sbr_ii.ps1
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -win 1 -ep bypass -File %APPDATA%\sbr_ii.ps1' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /change /tn AI /disable' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /F /create /sc minute /mo 5 /TN "AppRunLog" /ST 03:30 /TR "powershell.exe -ep bypass -win 1 -file %APPDATA%\3B885D\WORY5Nb1dat3VDuyxfUIs8.ps1 "' (со скрытым окном)
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%TEMP%\pdf.pdf"' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /change /tn AI /disable
- '<SYSTEM32>\schtasks.exe' /F /create /sc minute /mo 5 /TN "AppRunLog" /ST 03:30 /TR "powershell.exe -ep bypass -win 1 -file %APPDATA%\3B885D\WORY5Nb1dat3VDuyxfUIs8.ps1 "
- '<SYSTEM32>\cmd.exe' /c certutil -decode %TEMP%\pdf %TEMP%\pdf.pdf & explorer %TEMP%\pdf.pdf
- '<SYSTEM32>\certutil.exe' -decode %TEMP%\pdf %TEMP%\pdf.pdf
- '%WINDIR%\explorer.exe' %TEMP%\pdf.pdf
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%TEMP%\pdf.pdf"