Техническая информация
- %WINDIR%\tasks\threatkills.job
- <SYSTEM32>\tasks\threatkills
- [<HKLM>\System\CurrentControlSet\Services\Sympathetic Regiment] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\Sympathetic Regiment] 'ImagePath' = '%APPDATA%\Sympathetic Regiment\Sympathetic Regiment.exe'
- 'Sympathetic Regiment' %APPDATA%\Sympathetic Regiment\Sympathetic Regiment.exe
- %ALLUSERSPROFILE%\{d805e584-015a-69f5-d805-5e5840159610}\<Имя файла>.exe
- %ALLUSERSPROFILE%\{d805e584-015a-69f5-d805-5e5840159610}\<Имя файла>.dat
- %APPDATA%\sympathetic regiment\sympathetic regiment.exe
- %APPDATA%\sympathetic regiment\5bodv.dat
- 'mo###odel.biz':80
- http://mo###odel.biz/?q=#########################################################################################################################################################################...
- DNS ASK mo###odel.biz
- '%APPDATA%\sympathetic regiment\sympathetic regiment.exe'