Техническая информация
- [<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN] 'rdhxtcuatovx' = 'C:\Users\Public\Downloads\ofice2019\ofice2019.msi /quiet'
- %WINDIR%\syswow64\mspaint.exe
- 'tr########.dominiotemporario.com':80
- http://tr########.dominiotemporario.com/S2/contato.php
- DNS ASK tr########.dominiotemporario.com
- ClassName: 'MS_WINHELP' WindowName: ''
- '%WINDIR%\syswow64\mspaint.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\mspaint.exe'