Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'persist' = '%APPDATA%\<Имя файла>.exe'
- <SYSTEM32>\tasks\update\hkey_current_user
- %WINDIR%\microsoft.net\framework\v2.0.50727\regsvcs.exe
- %WINDIR%\microsoft.net\framework\v2.0.50727\regsvcs.exe
- %TEMP%\autc861.tmp
- %TEMP%\sionamxgvmwqihqugdsrzei.resource
- %APPDATA%\<Имя файла>.exe
- %APPDATA%\backup.exe
- %TEMP%\z602
- %TEMP%\regsvcs\regsvcs.exe
- nul
- <Полный путь к файлу>
- %TEMP%\autc861.tmp
- %TEMP%\z602
- %TEMP%\regsvcs\regsvcs.exe
- %TEMP%\regsvcs\regsvcs.exe
- '%TEMP%\regsvcs\regsvcs.exe'
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Update\HKEY_CURRENT_USER" /XML "%TEMP%\z602"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C ping 1.1.1.1 -n 1 -w 1000 > Nul & Del "%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\regsvcs.exe'
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Update\HKEY_CURRENT_USER" /XML "%TEMP%\z602"
- '%WINDIR%\syswow64\cmd.exe' /C ping 1.1.1.1 -n 1 -w 1000 > Nul & Del "%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe"
- '%WINDIR%\syswow64\ping.exe' 1.1.1.1 -n 1 -w 1000