Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\nslookup
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\windows\accountpictures\nslookup.exe
Изменяет файл HOSTS.
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' <#yavicevtd#> IF((New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent())).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)) { schtask...
- '%APPDATA%\microsoft\windows\accountpictures\nslookup.exe'
- '%APPDATA%\microsoft\windows\accountpictures\nslookup.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c powercfg /x -hibernate-timeout-ac 0 & powercfg /x -hibernate-timeout-dc 0 & powercfg /x -standby-timeout-ac 0 & powercfg /x -standby-timeout-dc 0
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' <#zmsmgbm#> IF((New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent())).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)) { IF([Syste...
- '<SYSTEM32>\powercfg.exe' /x -hibernate-timeout-ac 0
- '<SYSTEM32>\powercfg.exe' /x -hibernate-timeout-dc 0
- '<SYSTEM32>\powercfg.exe' /x -standby-timeout-ac 0
- '<SYSTEM32>\powercfg.exe' /x -standby-timeout-dc 0
- '<SYSTEM32>\schtasks.exe' /create /f /sc onlogon /rl highest /tn Nslookup /tr '%APPDATA%\Microsoft\Windows\AccountPictures\nslookup.exe'
- '<SYSTEM32>\schtasks.exe' /run /tn Nslookup
- '<SYSTEM32>\taskeng.exe' {1A652F2F-D44C-4B20-A06A-3A2FA76B5F1A} S-1-5-21-1960123792-2022915161-3775307078-1001:dinlbkeje\user:Interactive:[1]
