Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run\] 'csrss' = '"%WINDIR%\SysWOW64\Microsoft\csrss.exe"'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\] 'csrss' = '"%WINDIR%\SysWOW64\Microsoft\csrss.exe"'
- Средство контроля пользовательских учетных записей (UAC)
- %APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\3310a4fa6cb9c60504498d7eea986fc2_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
- %WINDIR%\syswow64\microsoft\csrss.exe
- %TEMP%\install.vbs
- %APPDATA%\remcos\logs.dat
- %WINDIR%\syswow64\microsoft\csrss.exe
- %TEMP%\install.vbs
- 'bl#####z1e.duckdns.org':10105
- DNS ASK bl#####z1e.duckdns.org
- ClassName: 'western.' WindowName: 'western.'
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\install.vbs"
- '%WINDIR%\syswow64\microsoft\csrss.exe'
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\install.vbs"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c "%WINDIR%\SysWOW64\Microsoft\csrss.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' <SYSTEM32>\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
- '%WINDIR%\syswow64\reg.exe' ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
- '%WINDIR%\syswow64\cmd.exe' /c "%WINDIR%\SysWOW64\Microsoft\csrss.exe"