Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{88EED464-348D-42CD-A8B4-261D5EA21876}' = '"%APPDATA%\{88EED464-348D-42CD-A8B4-261D5EA21876}\winsyn.exe"'
- '%APPDATA%\{88EED464-348D-42CD-A8B4-261D5EA21876}\winsyn.exe' -a 59 -g yes -o http://ww##.#1x2.su:789/ -u m1n3r_A -p refiuvytre
- '%APPDATA%\{88EED464-348D-42CD-A8B4-261D5EA21876}\winsyn.exe'
- '%TEMP%\YCqPmaMcKL.exe' "<Полный путь к вирусу>"
- ClassName: 'OLLYDBG' WindowName: '(null)'
- ClassName: 'FileMonClass' WindowName: '(null)'
- %APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\3a5ddc18-bd7a-4df4-b589-e69447bcd2ca
- %APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\Preferred
- %APPDATA%\{88EED464-348D-42CD-A8B4-261D5EA21876}\winsyn.exe
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\ec702f375e1b12d218f67ab9ef19ca23_23ef5514-3059-436f-a4a7-4cefaab20eb1
- %TEMP%\vxUpNVutVkNH.dll
- %TEMP%\YCqPmaMcKL.exe
- %TEMP%\ZktakjsuN.dll
- %TEMP%\HzJEzWRNK.JBJ
- %TEMP%\tjXhjICkBO.dll
- %TEMP%\vxUpNVutVkNH.dll
- %TEMP%\HzJEzWRNK.JBJ
- %TEMP%\ZktakjsuN.dll
- %TEMP%\YCqPmaMcKL.exe
- %TEMP%\tjXhjICkBO.dll
- 'ww##.x1x2.su':789
- DNS ASK ww##.x1x2.su
- ClassName: '18467-41' WindowName: '(null)'
- ClassName: 'Indicator' WindowName: '(null)'