Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'fEOaBaFyke' = 'C:\Users\Public\fEOaBaFyke.vbs'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run\] 'remcos' = '"%APPDATA%\RemoteHost\remotehost.exe"'
- remotehost.exe
- %APPDATA%\capabilityaccessmanagerclient\assignedaccessshellproxy.bat
- %APPDATA%\remotehost\remotehost.exe
- %TEMP%\install.vbs
- %TEMP%\install.vbs
- %TEMP%\install.vbs
- '16#.#16.15.144':6767
- '<SYSTEM32>\wscript.exe' "%TEMP%\install.vbs"
- '%APPDATA%\remotehost\remotehost.exe'
- '<SYSTEM32>\wscript.exe' "%TEMP%\install.vbs"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "%APPDATA%\RemoteHost\remotehost.exe"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "%APPDATA%\RemoteHost\remotehost.exe"
- '<SYSTEM32>\wscript.exe' "%TEMP%\install.vbs"