Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '7D6F9DC6208DF634E3486DC93E694054C83847F6' = '%TEMP%\7D6F9DC6208DF634E3486DC93E694054C83847F6.exe'
- <SYSTEM32>\tasks\svchost
- Системный антивирус (Защитник Windows)
- Компонент восстановления системы (SR)
- %HOMEPATH%\documents\8029884257659f4d87e018e259feeeaa844279b9.txt
- 'r-###lox.com':443
- DNS ASK r-###lox.com
- '<SYSTEM32>\cmd.exe' /c reagentc /disable' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c bcdedit /set {default} recoveryenabled No' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /tn "svchost" /sc ONLOGON /tr "<Полный путь к файлу>" /rl HIGHEST /f
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Get-MpPreference -verbose
- '<SYSTEM32>\cmd.exe' /c reagentc /disable
- '<SYSTEM32>\cmd.exe' /c bcdedit /set {default} recoveryenabled No
- '<SYSTEM32>\reagentc.exe' /disable