Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Jones.exe' = '%TEMP%\Jones.exe'
- <SYSTEM32>\tasks\james.exe
- jones.exe
- %TEMP%\jones.exe
- %TEMP%\tmp39c.tmp.exe
- %APPDATA%\james.exe
- %TEMP%\tmp328b.tmp.vbs
- %TEMP%\tmp328b.tmp.vbs
- DNS ASK no######ohmylord.ddns.net
- '%TEMP%\jones.exe'
- '%TEMP%\tmp39c.tmp.exe'
- '<SYSTEM32>\wscript.exe' "%TEMP%\tmp328B.tmp.vbs"
- '%APPDATA%\james.exe'
- '<SYSTEM32>\schtasks.exe' /create /sc onlogon /rl highest /tn James.exe /tr "%APPDATA%\James.exe' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /sc onlogon /rl highest /tn James.exe /tr "%APPDATA%\James.exe