Техническая информация
- [<HKLM>\System\CurrentControlSet\Services\sysservice] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\sysservice] 'ImagePath' = '%APPDATA%\sys\sysservice.exe'
- 'sysservice' %APPDATA%\sys\sysservice.exe
- http://pc####irs.noip.me/sysservice.exe как %appdata%\microsoft\windows\start menu\programs\startup\sysservice.exe
- %TEMP%\45b6.tmp\secret.bat
- %TEMP%\45b6.tmp\secret.bat
- 'pc####irs.noip.me':80
- DNS ASK pc####irs.noip.me
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\45B6.tmp\secret.bat" "<Полный путь к файлу>""' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\45B6.tmp\secret.bat" "<Полный путь к файлу>""
- '%WINDIR%\syswow64\sc.exe' create sysservice binPath= "%APPDATA%\sys\sysservice.exe" DisplayName= "sysservice" start= auto