Техническая информация
- <SYSTEM32>\tasks\onkcaa9enc
- '%APPDATA%\msbuild.exe'
- msbuild.exe
- %APPDATA%\zmyhm.vbs
- %APPDATA%\msbuild.exe
- 'po##.#ublicvm.com':1919
- DNS ASK po##.#ublicvm.com
- '<SYSTEM32>\wscript.exe' "%APPDATA%\ZMyhm.vbs"
- '<SYSTEM32>\cmd.exe' /k schtasks /create /sc minute /mo 1 /tn oNKcAA9eNc /tr %APPDATA%\ZMyhm.vbs' (со скрытым окном)
- '<SYSTEM32>\wscript.exe' "%APPDATA%\ZMyhm.vbs"' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' ' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /k schtasks /create /sc minute /mo 1 /tn oNKcAA9eNc /tr %APPDATA%\ZMyhm.vbs
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 1 /tn oNKcAA9eNc /tr %APPDATA%\ZMyhm.vbs
- '<SYSTEM32>\taskeng.exe' {3006B2F1-7086-4364-B8CC-23619C1A7B13} S-1-5-21-1960123792-2022915161-3775307078-1001:dikrvycctcc\user:Interactive:[1]
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe'