Техническая информация
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Win32Svc' = '<Полный путь к файлу>'
- <SYSTEM32>\tasks\decuser
- 'ip##pi.com':80
- '94.##6.237.231':3271
- http://ip##pi.com/line/
- DNS ASK ip##pi.com
- '<Полный путь к файлу>' ' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 1 /tn "Decuser" /tr "<Полный путь к файлу>"
- '<SYSTEM32>\taskeng.exe' {98DCFBD7-D0E7-44FC-9AE5-1323D4293071} S-1-5-21-1960123792-2022915161-3775307078-1001:cecbzfqhv\user:Interactive:[1]