Техническая информация
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'wsedhkyf854qwd' = '%TEMP%\wsedhkyf854qwd\svchost.exe'
- %TEMP%\869.tmp\86a.bat
- %TEMP%\wsedhkyf854qwd\svchost.exe
- %TEMP%\cad.tmp\cbd.bat
- %TEMP%\temp49174188.hta
- %TEMP%\869.tmp\86a.bat
- '%TEMP%\wsedhkyf854qwd\svchost.exe'
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\869.tmp\86A.bat <Полный путь к файлу>"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\CAD.tmp\CBD.bat %TEMP%\wsedhkyf854qwd\svchost.exe"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\869.tmp\86A.bat <Полный путь к файлу>"
- '<SYSTEM32>\cmd.exe' /S /D /c" echo f"
- '<SYSTEM32>\xcopy.exe' /y <Полный путь к файлу> svchost.exe
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\CAD.tmp\CBD.bat %TEMP%\wsedhkyf854qwd\svchost.exe"
- '<SYSTEM32>\reg.exe' add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v wsedhkyf854qwd /d "%TEMP%\wsedhkyf854qwd\svchost.exe" /f
- '%WINDIR%\syswow64\mshta.exe' "%TEMP%\temp49174188.hta"