Техническая информация
- [<HKLM>\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs] 'ntdll' = 'ntdll.dll'
- %HOMEPATH%\start menu\programs\startup\frhppwxvku.url
- <SYSTEM32>\svchost.exe
- amd32.exe
- %TEMP%\amd32.exe
- %ALLUSERSPROFILE%\application data\xgrruglcri\cfgi
- %ALLUSERSPROFILE%\application data\xgrruglcri\cfg
- %ALLUSERSPROFILE%\application data\xgrruglcri\windowsdefender
- %ALLUSERSPROFILE%\application data\xgrruglcri\r.vbs
- %TEMP%\amd32.exe
- %ALLUSERSPROFILE%\application data\xgrruglcri\r.vbs
- %ALLUSERSPROFILE%\application data\xgrruglcri\windowsdefender в %ALLUSERSPROFILE%\application data\xgrruglcri\windowsdefender.exe
- 'po##.#upportxmr.com':5555
- http://18#.#27.26.252/amd32.exe
- DNS ASK ip###ger.org
- DNS ASK po##.#upportxmr.com
- '%TEMP%\amd32.exe'
- '<SYSTEM32>\cmd.exe' /C choice /C Y /N /D Y /T 3 & Del <Полный путь к файлу>' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C choice /C Y /N /D Y /T 3 & Del <Полный путь к файлу>
- '<SYSTEM32>\svchost.exe' -c "%ALLUSERSPROFILE%\Application Data\xgrRUglcRi\cfg"
- '<SYSTEM32>\cmd.exe' /C WScript "%ALLUSERSPROFILE%\Application Data\xgrRUglcRi\r.vbs"
- '<SYSTEM32>\wscript.exe' "%ALLUSERSPROFILE%\Application Data\xgrRUglcRi\r.vbs"