Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'Update' = '%APPDATA%\system\winlogon.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe, %APPDATA%\system\winlogon.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%APPDATA%\system\winlogon.exe' = '%APPDATA%\system\winlogon.exe:*:Enabled:winlogon.exe'
- %APPDATA%\System\winlogon.exe
- <SYSTEM32>\reg.exe add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run" /v "Update" /t reg_sz /d "%APPDATA%\system\winlogon.exe" /f
- <SYSTEM32>\reg.exe add "HKLM\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List" /v "%APPDATA%\system\winlogon.exe" /t reg_sz /d "%APPDATA%\system\winlogon.exe:*:Enabled:winlogon.exe" /f
- %APPDATA%\rt1.png
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\img[1].php
- %APPDATA%\System\winlogon.exe
- %APPDATA%\System\winlogon.exe
- из <Полный путь к вирусу> в C:\RECYCLER\find_me.tmp
- 'ca####founders.pro':80
- ca####founders.pro/img.php?gi######
- DNS ASK ca####founders.pro