Техническая информация
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '<SYSTEM32>\780E.exe'
- %WINDIR%\syswow64\mswinsck.ocx
- %WINDIR%\syswow64\b823.exe
- %WINDIR%\syswow64\780e.exe
- <PATH_SAMPLE>tmp.bat
- %WINDIR%\syswow64\780etmp.bat
- %WINDIR%\syswow64\b823.exe
- 'd4.##topa.cn':80
- http://d4.##topa.cn/0901//online/?s=############################################################################################################################
- http://d4.##topa.cn/0901//list/?s=################################################################################
- DNS ASK da##.alexa.com
- DNS ASK d4.##topa.cn
- '%WINDIR%\syswow64\b823.exe' -bb
- '%WINDIR%\syswow64\780e.exe'
- '%WINDIR%\syswow64\cmd.exe' /c "start <SYSTEM32>\B823.exe -bb"' (со скрытым окном)
- '%WINDIR%\syswow64\780e.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c "<PATH_SAMPLE>tmp.bat"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c "%WINDIR%\SysWOW64\780Etmp.bat"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c "start <SYSTEM32>\B823.exe -bb"
- '%WINDIR%\syswow64\cmd.exe' /c "<PATH_SAMPLE>tmp.bat"
- '%WINDIR%\syswow64\cmd.exe' /c "%WINDIR%\SysWOW64\780Etmp.bat"