Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{D9BCDA41-A605-AD44-B8E2-831792E4A00A}' = '%APPDATA%\Emunz\agibf.exe'
- %WINDIR%\syswow64\cmd.exe
- <SYSTEM32>\conhost.exe
- iexplore.exe
- winmail.exe
- Процесс firefox.exe, модуль wininet.dll
- Процесс firefox.exe, модуль crypt32.dll
- Процесс iexplore.exe, модуль wininet.dll
- Процесс iexplore.exe, модуль crypt32.dll
- %APPDATA%\emunz\agibf.exe
- %TEMP%\tmpc4eafc49.bat
- %TEMP%\ppcrlui_2040_2
- %TEMP%\ppcrlui_2920_2
- %TEMP%\ppcrlui_2040_2
- 'microsoft.com':80
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
- DNS ASK microsoft.com
- '19#.#4.127.98':25549
- '64.##1.249.250':27667
- '99.##3.42.49':26480
- '24.##0.165.58':21251
- '89.##.159.178':13286
- '81.##3.189.232':10880
- '19#.#1.70.108':10720
- '19#.#69.125.228':29902
- ClassName: 'OutlookExpressHiddenWindow' WindowName: ''
- '%APPDATA%\emunz\agibf.exe'
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\tmpc4eafc49.bat"' (со скрытым окном)
- '%ProgramFiles%\windows mail\winmail.exe' -Embedding
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\tmpc4eafc49.bat"