Техническая информация
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Uajcyryw' = 'C:\Users\Public\Uajcyryw.url'
- C:\users\public\libraries\null
- %WINDIR% \system32\4069241.exe
- %WINDIR% \system32\netutils.dll
- %WINDIR% \system32\kdeco.bat
- C:\users\public\libraries\uajcyryw.pif
- C:\users\public\libraries\uajcyryw
- C:\users\public\uajcyryw.url
- %ALLUSERSPROFILE%\remcos\logs.dat
- %WINDIR% \system32\netutils.dll
- %WINDIR% \system32\4069241.exe
- %WINDIR% \system32\kdeco.bat
- '20##.#ilemail.com':443
- 'localhost':47212
- 'of#####em.duckdns.org':47212
- 'ge###ugin.net':80
- http://ge###ugin.net/json.gp
- '20##.#ilemail.com':443
- 'of#####em.duckdns.org':47212
- DNS ASK 20##.#ilemail.com
- DNS ASK of#####em.duckdns.org
- DNS ASK ge###ugin.net
- '%WINDIR%\syswow64\cmd.exe' /c mkdir "\\?\%WINDIR% "' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c mkdir "\\?\%WINDIR% \System32"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c "%WINDIR% \System32\4069241.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\extrac32.exe' /C /Y <Полный путь к файлу> C:\\Users\\Public\\Libraries\\Uajcyryw.PIF' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c mkdir "\\?\%WINDIR% "
- '%WINDIR%\syswow64\cmd.exe' /c mkdir "\\?\%WINDIR% \System32"
- '%WINDIR%\syswow64\cmd.exe' /c "%WINDIR% \System32\4069241.exe"
- '%WINDIR%\syswow64\extrac32.exe' /C /Y <Полный путь к файлу> C:\\Users\\Public\\Libraries\\Uajcyryw.PIF