Техническая информация
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'svchost' = '%APPDATA%\server\server.exe'
- <SYSTEM32>\tasks\updates\wknfta
- %APPDATA%\wknfta.exe
- %TEMP%\tmp4b34.tmp
- %APPDATA%\server\server.exe
- %APPDATA%\user.txt
- %APPDATA%\wknfta.exe
- %TEMP%\tmp4b34.tmp
- 'jo#####.publicvm.com':1717
- http://fr###eoip.net/json/
- http://fr###eoip.net/shutdown
- DNS ASK fr###eoip.net
- DNS ASK jo#####.publicvm.com
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\WknFTa" /XML "%TEMP%\tmp4B34.tmp"' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\WknFTa" /XML "%TEMP%\tmp4B34.tmp"