Техническая информация
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'SearchIndexer' = '%APPDATA%\Inchar\SearchIndexer.exe'
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'SearchIndexer' = '%APPDATA%\Inchar\SearchIndexer.exe'
- %APPDATA%\microsoft\windows\start menu\programs\startup\wscript.vbs
- %APPDATA%\inchar\searchindexer.exe
- %TEMP%\95ae2394758a.cmd
- nul
- %APPDATA%\inchar\id.conf
- %APPDATA%\inchar\snapshot.jpg
- %TEMP%\95ae2394758a.cmd
- %APPDATA%\inchar\snapshot.jpg
- http://13#.#.234.234/rew/gate.php?lp##
- http://13#.#.234.234/rew/gate.php?pr###
- http://13#.#.234.234/rew/gate.php?ct##
- http://13#.#.234.234/rew/gate.php?p=#
- DNS ASK microsoft.com
- '%APPDATA%\inchar\searchindexer.exe' 0
- '%APPDATA%\inchar\searchindexer.exe' 0' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\95AE2394758A.cmd" 0"' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableRealtimeMonitoring 1' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\95AE2394758A.cmd" 0"
- '%WINDIR%\syswow64\ping.exe' -n 4 127.0.0.1
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableRealtimeMonitoring 1