Техническая информация
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'jhi_service' = '%WINDIR%\jhi_service.exe'
- Средство контроля пользовательских учетных записей (UAC)
- '' (загружен из сети Интернет)
- %WINDIR%\jhi_service.exe
- %WINDIR%\rundll32.exe
- 'nm###umgame.kr':80
- http://nm###umgame.kr/DOWN/FFFF.exe
- DNS ASK nm###umgame.kr
- ClassName: 'POKER_CANVAS' WindowName: '게임 클라이언트'
- ClassName: 'REALGAME_CANVAS' WindowName: '게임 클라이언트'
- ClassName: 'CXG_WNDCLASS' WindowName: ''
- ClassName: 'UnityWndClass' WindowName: '마그마홀덤'
- ClassName: 'UnityWndClass' WindowName: '텍사스홀덤'
- '%WINDIR%\jhi_service.exe'
- '%WINDIR%\rundll32.exe'
- '%WINDIR%\jhi_service.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del <Полный путь к файлу> >> NUL' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c route delete 1.234.83.142' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c route add 1.234.83.142 mask 255.255.255.255 10.0.73.24' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del <Полный путь к файлу> >> NUL
- '%WINDIR%\syswow64\cmd.exe' /c route delete 1.234.83.142
- '%WINDIR%\syswow64\cmd.exe' /c route add 1.234.83.142 mask 255.255.255.255 10.0.73.24
- '%WINDIR%\syswow64\route.exe' delete 1.234.83.142
- '%WINDIR%\syswow64\route.exe' add 1.234.83.142 mask 255.255.255.255 10.0.73.24