Техническая информация
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'splwow64.exe' = '%APPDATA%\ZlFZQkBA\splwow64.exe'
- %WINDIR%\tasks\zlfzqkba.job
- <SYSTEM32>\tasks\zlfzqkba
- splwow64.exe
- %APPDATA%\zlfzqkba\splwow64.exe
- %APPDATA%\zlfzqkba\splwow64.exe
- DNS ASK im###hack.su
- DNS ASK im###scdn2.ru
- DNS ASK im###scdn3.ru
- DNS ASK im###scdn4.ru
- DNS ASK im###scdn5.ru
- DNS ASK im###scdn6.ru
- DNS ASK im###scdn7.ru
- DNS ASK im###scdn8.ru
- DNS ASK im###scdn9.ru
- DNS ASK im###scdn10.ru
- DNS ASK im###scdn11.ru
- DNS ASK im###scdn12.ru
- DNS ASK im###scdn14.ru
- DNS ASK im###scdn15.ru
- DNS ASK im###scdn16.ru
- DNS ASK im###scdn17.ru
- DNS ASK im###scdn18.ru
- DNS ASK im###scdn19.ru
- DNS ASK im###scdn20.ru
- DNS ASK im###acks.su
- DNS ASK im###scdn1.ru
- DNS ASK im###scdn.ru
- ClassName: '#32770' WindowName: ''
- '%APPDATA%\zlfzqkba\splwow64.exe' <Полный путь к файлу>
- '%APPDATA%\zlfzqkba\splwow64.exe'
- '%WINDIR%\syswow64\cmd.exe' /a /c ping 127.0.0.1 -n 3&del "<Полный путь к файлу>"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del <Полный путь к файлу>' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /a /c ping 127.0.0.1 -n 3&del "<Полный путь к файлу>"
- '%WINDIR%\syswow64\cmd.exe' /c del <Полный путь к файлу>
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 3