Техническая информация
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '434rfg45' = '<LS_APPDATA>\434rfg45\434rfg45nak.vbs'
- lyklyk.exe
- %APPDATA%\lyklyk.exe
- %APPDATA%\lyk.bmp
- %APPDATA%\rpt_swift.pdf
- %APPDATA%\lyk.ocx
- %APPDATA%\434rfg45434rfg45\434rfg45eyp.exe
- <LS_APPDATA>\434rfg45\434rfg45eyp.exe
- <LS_APPDATA>\434rfg45\434rfg45mw.vbs
- <LS_APPDATA>\434rfg45\434rfg45.bmp
- <LS_APPDATA>\434rfg45\434rfg45doh.vbs
- <LS_APPDATA>\434rfg45\434rfg45nak.vbs
- %APPDATA%\45t3gdf45t\logs.dat
- %APPDATA%\lyk.ocx
- <LS_APPDATA>\434rfg45\434rfg45mw.vbs
- 'ta#####s.dns-cloud.net':2312
- DNS ASK ta#####s.dns-cloud.net
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'AdobeAcrobat' WindowName: ''
- '%APPDATA%\lyklyk.exe'
- '<SYSTEM32>\wscript.exe' "<LS_APPDATA>\434rfg45\434rfg45Mw.vbs"
- '<SYSTEM32>\wscript.exe' "<LS_APPDATA>\434rfg45\434rfg45Mw.vbs"' (со скрытым окном)
- '%ProgramFiles%\adobe\reader 10.0\reader\acrord32.exe' "%APPDATA%\RPT_SWIFT.PDF"