Техническая информация
- %APPDATA%\microsoft\windows\start menu\programs\startup\lcoreupdate.exe.lnk
- winusercert.exe
- %TEMP%\rarsfx0\beta2.exe
- %TEMP%\rarsfx0\run.vbs
- %TEMP%\rarsfx0\beta1.exe
- %APPDATA%\system\lcoreupdate.exe
- %APPDATA%\system\lcoreupdate.exe.lnk
- %TEMP%\winusercert.exe
- '79.##4.225.85':10150
- 'pa###bin.com':443
- DNS ASK pa###bin.com
- ClassName: 'EDIT' WindowName: ''
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\RarSFX0\run.vbs"
- '%TEMP%\rarsfx0\beta1.exe'
- '%TEMP%\rarsfx0\beta2.exe'
- '%TEMP%\winusercert.exe'
- '%WINDIR%\syswow64\cmd.exe' /c copy "C:/Users/user/AppData/Local/Temp/RarSFX0/beta2.exe" "%appdata%\System\lcoreupdate.exe" /Y' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c echo [zoneTransfer]ZoneID = 2 > %appdata%\System\lcoreupdate.exe:Zone.Identifier' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ren "%appdata%\System\lcoreupdate.exe.jpg" lcoreupdate.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c copy "C:/Users/user/AppData/Local/Temp/RarSFX0/beta2.exe" "%appdata%\System\lcoreupdate.exe" /Y
- '%WINDIR%\syswow64\cmd.exe' /c echo [zoneTransfer]ZoneID = 2 > %appdata%\System\lcoreupdate.exe:Zone.Identifier
- '%WINDIR%\syswow64\cmd.exe' /c ren "%appdata%\System\lcoreupdate.exe.jpg" lcoreupdate.exe