Техническая информация
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'winabcJp' = 'rundll32.exe %TEMP%\<Имя файла>.dll,abcLaunchEv'
- Библиотека-обработчик для всех процессов: %TEMP%\<Имя файла>.dll
- %TEMP%\<Имя файла>.dll
- http://zc.#o-t.com/spcode.dat
- http://zc.#o-t.com/i.htm
- DNS ASK zc.#o-t.com
- DNS ASK se##.com
- ClassName: '' WindowName: 'my muma'
- '%WINDIR%\syswow64\cmd.exe' /c del <Полный путь к файлу> > nul' (со скрытым окном)
- '%WINDIR%\syswow64\rundll32.exe' %TEMP%\<Имя файла>.dll,abcLaunchEv
- '%WINDIR%\syswow64\cmd.exe' /c del <Полный путь к файлу> > nul