Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'dpapimig' = '%APPDATA%\dpapimig.exe'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'dpapimig' = '%APPDATA%\dpapimig.exe'
- dpapimig.exe
- %APPDATA%\csrss.exe
- %APPDATA%\csrss.exe\:zone.identifier:$data
- %APPDATA%\autocnv.exe
- %APPDATA%\autocnv.exe\:zone.identifier:$data
- %APPDATA%\csrss.exe
- из <Полный путь к файлу> в %APPDATA%\dpapimig.exe
- '%APPDATA%\autocnv.exe'
- '%WINDIR%\syswow64\cmd.exe' /c echo [zoneTransfer]ZoneID = 2 > "%APPDATA%\dpapimig.exe":ZONE.identifier & exit' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c echo [zoneTransfer]ZoneID = 2 > "<Полный путь к файлу>":ZONE.identifier & exit' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c echo [zoneTransfer]ZoneID = 2 > "<Полный путь к файлу>":ZONE.identifier & exit
- '%WINDIR%\syswow64\cmd.exe' /c echo [zoneTransfer]ZoneID = 2 > "%APPDATA%\dpapimig.exe":ZONE.identifier & exit