Техническая информация
- <SYSTEM32>\tasks\dialersvc32
- <SYSTEM32>\tasks\dialersvc64
- %WINDIR%\tasks\dialersvc32.job
- %WINDIR%\tasks\dialersvc64.job
- <SYSTEM32>\tasks\windowsservices
- <SYSTEM32>\schtasks.exe
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('SOFTWARE').GetValue('dialerstager')).EntryPoint.Invoke($Null,$Null)"' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' "[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('SOFTWARE').GetValue('dialerstager')).EntryPoint.Invoke($Null,$Null)"' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('SOFTWARE').GetValue('dialerstager')).EntryPoint.Invoke($Null,$Null)"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' "[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('SOFTWARE').GetValue('dialerstager')).EntryPoint.Invoke($Null,$Null)"
- '<SYSTEM32>\dllhost.exe' /Processid:{70c611cf-e19d-4d4c-8f80-60818c59773d}
- '<SYSTEM32>\schtasks.exe' /run /tn "WindowsServices"