Техническая информация
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Zam' = '%LOCALAPPDATA%\Zam\Zamnb.vbs'
- %WINDIR%\syswow64\tapiunattend.exe
- %TEMP%\mood.vbs
- %TEMP%\mood\zam.bmp
- %TEMP%\mood\zamnxv.exe
- %TEMP%\zam.ocx
- %HOMEPATH%\music\zamnes.exe
- %HOMEPATH%\music\zam.bmp
- %LOCALAPPDATA%\zam\zamqa.bat
- %LOCALAPPDATA%\zam\zamnb.vbs
- %APPDATA%\remcos\logs.dat
- %TEMP%\zam.ocx
- 'eg##.ddns.net':3908
- 'eg##.ddns.net':4101
- DNS ASK eg##.ddns.net
- ClassName: 'EDIT' WindowName: ''
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\Mood.vbs"
- '%TEMP%\mood\zamnxv.exe'
- '%TEMP%\mood\zamnxv.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\tapiunattend.exe'