Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Jones.exe' = '%TEMP%\Jones.exe'
- <SYSTEM32>\tasks\james.exe
- jones.exe
- %TEMP%\jones.exe
- %TEMP%\tmp4ff6.tmp.exe
- %APPDATA%\james.exe
- %TEMP%\tmp7c46.tmp.vbs
- %TEMP%\tmp7c46.tmp.vbs
- DNS ASK no######ohmylord.ddns.net
- '%TEMP%\jones.exe'
- '%TEMP%\tmp4ff6.tmp.exe'
- '<SYSTEM32>\wscript.exe' "%TEMP%\tmp7C46.tmp.vbs"
- '%APPDATA%\james.exe'
- '<SYSTEM32>\schtasks.exe' /create /sc onlogon /rl highest /tn James.exe /tr "%APPDATA%\James.exe' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /sc onlogon /rl highest /tn James.exe /tr "%APPDATA%\James.exe