Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Control Panel\CPLs] '<Имя файла>' = '%TEMP%\<Имя файла>.cpl'
- <SYSTEM32>\tasks\<Имя файла>
- %TEMP%\<Имя файла>.cpl
- %TEMP%\<Имя файла>.lnk
- %TEMP%\<Имя файла>.cpl
- %TEMP%\<Имя файла>.lnk
- 'wi#.##unceme.net':7000
- DNS ASK wi#.##unceme.net
- '<SYSTEM32>\schtasks.exe' /Create /F /TN "<Имя файла>" /SC ONLOGON /TR "mshta.exe vbscript:Execute(\"on error resume next:CreateObject(\"\"Wscript.Shell\"\").Run \"\"\"\"\"\"%TEMP%\<Имя файла>.lnk\"\"\"\"\"\",0:close\""...' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /RUN /TN "<Имя файла>"' (со скрытым окном)
- '<SYSTEM32>\mshta.exe' vbscript:Execute("on error resume next:CreateObject(""Wscript.Shell"").Run """"""%TEMP%\<Имя файла>.lnk"""""",0:close")' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /Create /F /TN "<Имя файла>" /SC ONLOGON /TR "mshta.exe vbscript:Execute(\"on error resume next:CreateObject(\"\"Wscript.Shell\"\").Run \"\"\"\"\"\"%TEMP%\<Имя файла>.lnk\"\"\"\"\"\",0:close\""...
- '<SYSTEM32>\schtasks.exe' /RUN /TN "<Имя файла>"
- '<SYSTEM32>\taskeng.exe' {FE6FBF9D-50D4-4313-9900-698AD7C3495F} S-1-5-21-1960123792-2022915161-3775307078-1001:eorqxvx\user:Interactive:[1]
- '<SYSTEM32>\mshta.exe' vbscript:Execute("on error resume next:CreateObject(""Wscript.Shell"").Run """"""%TEMP%\<Имя файла>.lnk"""""",0:close")