Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Orcus' = '"%ProgramFiles(x86)%\zowerkenwijniet\excuseer.exe"'
- <SYSTEM32>\tasks\orcus respawner
- %ProgramFiles(x86)%\zowerkenwijniet\excuseer.exe
- %ProgramFiles(x86)%\zowerkenwijniet\excuseer.exe.config
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
- %ProgramFiles(x86)%\zowerkenwijniet\excuseer.exe
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
- DNS ASK microsoft.com
- '%ProgramFiles(x86)%\zowerkenwijniet\excuseer.exe'
- '%ProgramFiles(x86)%\zowerkenwijniet\excuseer.exe' ' (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {92B4D000-1DB7-4F57-BEF0-F91B4DEB7E8B} S-1-5-21-1960123792-2022915161-3775307078-1001:sdshzgshtl\user:Interactive:[1]