Техническая информация
- <SYSTEM32>\tasks\m
- %APPDATA%\w0rm.exe
- 'ta###.publicvm.com':5
- DNS ASK ta###.publicvm.com
- '%APPDATA%\w0rm.exe'
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /Create /SC MINUTE /MO 2 /tn m /tr %APPDATA%\W0rm.exe /ec system' (со скрытым окном)
- '%APPDATA%\w0rm.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /Create /SC MINUTE /MO 2 /tn m /tr %APPDATA%\W0rm.exe /ec system
- '%WINDIR%\syswow64\schtasks.exe' /Create /SC MINUTE /MO 2 /tn m /tr %APPDATA%\W0rm.exe /ec system
- '<SYSTEM32>\taskeng.exe' {4735DF5B-5909-437F-AE7F-0BA87A75583B} S-1-5-21-1960123792-2022915161-3775307078-1001:odszaltil\user:Interactive:[1]