Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\ehamdxgmqkvnfom
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\myfile.vbe
- %APPDATA%\ehamdxgmqkvnfom.vbs
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%ALLUSERSPROFILE%\MyFile.vbe"
- '<SYSTEM32>\wscript.exe' "%APPDATA%\EhAmdxGMqKVNfOM.vbs"
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command ""[AppDomain]::CurrentDomain.Load([Convert]::FromBase64String((-join (Get-ItemProperty -LiteralPath 'HKCU:\Software\EhAmdxGMqKVNfOM' -Name 's').s | ForEach-Object {... (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {E5609DF5-5085-4A02-9CC6-85B804EF70A0} S-1-5-21-3691498038-2086406363-2140527554-1000:lsbspsjsuhrl\user:Interactive:[1]
- '<SYSTEM32>\wscript.exe' "%ALLUSERSPROFILE%\MyFile.vbe" (со скрытым окном)
- '<SYSTEM32>\wscript.exe' "%APPDATA%\EhAmdxGMqKVNfOM.vbs" (со скрытым окном)
