Техническая информация
- [<HKCU>\software\Microsoft\Windows\CurrentVersion\Run] 'ycoqftaxyj' = '%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ycoqftaxyj.lnk'
- %APPDATA%\microsoft\windows\start menu\programs\startup\ycoqftaxyj.lnk
- C:\users\public\documents\ycoqftaxyj_ycoqftaxyj_ycoqftaxyj.zip
- C:\ycoqft~1\rundll32.exe
- C:\ycoqft~1\avira.exe
- C:\users\public\documents\ycoqftaxyj_ycoqftaxyj_ycoqftaxyj.zip
- http://23.##0.122.203/mdl/output.jpg
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' cd\;cd '%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup';Start-Sleep -s 60;Start-Process 'ycoqftaxyj.lnk'' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' cd\;cd '%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup';Start-Sleep -s 60;Start-Process 'ycoqftaxyj.lnk'