Техническая информация
- %APPDATA%\microsoft\windows\start menu\programs\startup\ertrte.exe.lnk
- svhost.exe
- %APPDATA%\defsrdg\ertrte.exe
- %APPDATA%\defsrdg\ertrte.exe.lnk
- %TEMP%\svhost.exe
- %APPDATA%\defsrdg\ertrte.exe.bat
- DNS ASK ip##pi.com
- DNS ASK fr###eoip.net
- DNS ASK ap#.#pify.org
- DNS ASK sk####t.ddns.net
- '%TEMP%\svhost.exe'
- '%WINDIR%\syswow64\cmd.exe' /c copy "C:/ytpks/<Имя файла>.exe" "%appdata%\defsrdg\ertrte.exe" /Y' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c echo [zoneTransfer]ZoneID = 2 > %appdata%\defsrdg\ertrte.exe:Zone.Identifier' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ren "%appdata%\defsrdg\ertrte.exe.jpg" ertrte.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c %APPDATA%\defsrdg\ertrte.exe.bat' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\MjJRWrSgYqYi.bat" "' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c copy "C:/ytpks/<Имя файла>.exe" "%appdata%\defsrdg\ertrte.exe" /Y
- '%WINDIR%\syswow64\cmd.exe' /c echo [zoneTransfer]ZoneID = 2 > %appdata%\defsrdg\ertrte.exe:Zone.Identifier
- '%WINDIR%\syswow64\cmd.exe' /c ren "%appdata%\defsrdg\ertrte.exe.jpg" ertrte.exe
- '%WINDIR%\syswow64\cmd.exe' /c %APPDATA%\defsrdg\ertrte.exe.bat
- '%WINDIR%\syswow64\timeout.exe' /t 300
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\MjJRWrSgYqYi.bat" "
- '%WINDIR%\syswow64\chcp.com' 65001
- '%WINDIR%\syswow64\ping.exe' -n 10 localhost