Техническая информация
- <SYSTEM32>\tasks\skype
- %TEMP%\t.ps1
- %APPDATA%\system.vbs
- %APPDATA%\system.ps1
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -noprofile -executionpolicy bypass %TEMP%\t.ps1
- '<SYSTEM32>\wscript.exe' %APPDATA%\System.vbs
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -noprofile -executionpolicy bypass %APPDATA%\System.ps1
- '<SYSTEM32>\cmd.exe' /c powershell -noprofile -executionpolicy bypass %TEMP%\t.ps1' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c powershell -noprofile -executionpolicy bypass %APPDATA%\System.ps1' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c powershell -noprofile -executionpolicy bypass %TEMP%\t.ps1
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 45 /tn Skype /tr "\"%APPDATA%\System.vbs\""
- '<SYSTEM32>\cmd.exe' /c powershell -noprofile -executionpolicy bypass %APPDATA%\System.ps1