Техническая информация
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Winexec32' = '%WINDIR%\winexec32.exe'
- %ALLUSERSPROFILE%\start menu\programs\startup\win.exe
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram %WINDIR%\system\win.exe RPCCC
- %WINDIR%\system\win.exe
- http://co########eptcontpt.100webspace.net/contador.php
- DNS ASK co########eptcontpt.100webspace.net
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram %WINDIR%\system\win.exe RPCCC' (со скрытым окном)