Техническая информация
- <SYSTEM32>\tasks\d7tr0ojr0df0
- <Текущая директория>\xg9ql.xml
- %ProgramFiles%\unp\logs\updatenotificationpipeline.001.etl в %ProgramFiles%\unp\logs\updatenotificationpipeline.002.etl
- <Полный путь к файлу>
- %ProgramFiles%\UNP\Logs\UpdateNotificationPipeline.001.etl
- из <Полный путь к файлу> в <Текущая директория>\old_<Имя файла>.exe
- http://w.google.com/
- http://cu##t.org/oxgBR
- http://q.#s/EVnYC
- http://ap###sal.net/-20OETW/EVnYC?rn#########################
- http://ap###sal.net/suspended?a=############
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?28##############
- DNS ASK w.google.com
- DNS ASK cu##t.org
- DNS ASK q.#s
- DNS ASK ap###sal.net
- '<SYSTEM32>\usoclient.exe' StartScan
- '<SYSTEM32>\devicecensus.exe'
- '<SYSTEM32>\apphostregistrationverifier.exe'
- '%WINDIR%\syswow64\schtasks.exe' /CREATE /RL HIGHEST /SC ONLOGON /TR "<Полный путь к файлу>" /TN d7tr0ojR0df0 /F
- '%WINDIR%\syswow64\cmd.exe' /c schtasks.exe /Query /XML /TN d7tr0ojR0df0 > <Текущая директория>\xG9Ql.xml
- '%WINDIR%\syswow64\schtasks.exe' /Query /XML /TN d7tr0ojR0df0