Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '%WINDIR%\explorer.exe <SYSTEM32>\ \winlogon.exe'
- %WINDIR%\Tasks\At1.job
- <SYSTEM32>\ \winlogon.exe
- <SYSTEM32>\at.exe 00:00 /interactive "<SYSTEM32>\ \winlogon.exe"
- <SYSTEM32>\schtasks.exe /delete /tn at1 /F
- <SYSTEM32>\schtasks.exe /run /tn at1
- <SYSTEM32>\ping.exe -w 10 127.0.0.1
- <SYSTEM32>\attrib.exe +S +H +R <SYSTEM32>\ /S /D
- <SYSTEM32>\attrib.exe +S +H +R <SYSTEM32>\ \Desktop.ini /S /D
- <SYSTEM32>\cmd.exe /c ""<SYSTEM32>\pendrive.bat" "
- <SYSTEM32>\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d "%WINDIR%\explorer.exe <SYSTEM32>\ \winlogon.exe" /f
- <SYSTEM32>\xcopy.exe /h /y "<Полный путь к вирусу>" "<SYSTEM32>\ \winlogon.exe"
- <SYSTEM32>\ \desktop.ini
- <SYSTEM32>\ \winlogon.exe
- <SYSTEM32>\pendrive.bat
- <SYSTEM32>\ \desktop.ini
- %WINDIR%\Tasks\At1.job
- '<IP-адрес в локальной сети>':64666
- 'f4####l.no-ip.info':64666
- DNS ASK f4####l.no-ip.info
- '<IP-адрес в локальной сети>':1035