Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,'
- %WINDIR%\Tasks\KeepRadmin.job
- [<HKLM>\SYSTEM\ControlSet001\Services\Schedule] 'Start' = '00000002'
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\KeepRadmin.exe
- '%TEMP%\7za.exe' x "%ALLUSERSPROFILE%\Application Data\KeepRadmin\rserver3.7z" -y
- '<SYSTEM32>\schtasks.exe' /Create /RU SYSTEM /SC HOURLY /MO 1 /TN KeepRadmin /TR "\"%ALLUSERSPROFILE%\Application Data\KeepRadmin\KeepRadmin.exe\""
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\rserver3" /v FailureActions /t REG_BINARY /d 0000000000000000000000000300000014000000020000000000000002000000000000000200000000000000 /f
- '<SYSTEM32>\sc.exe' config Schedule start= auto
- '<SYSTEM32>\sc.exe' start Schedule
- %ALLUSERSPROFILE%\Application Data\KeepRadmin\keepradmin_error.log
- %TEMP%\7za.exe
- %ALLUSERSPROFILE%\Application Data\KeepRadmin\rserver3.7z
- %ALLUSERSPROFILE%\Application Data\KeepRadmin\keepradmin.log
- %ALLUSERSPROFILE%\Application Data\KeepRadmin\KeepRadmin.exe
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\KeepRadmin.exe
- 'ip##gger.ru':80
- '2i#.ru':80
- '89.##5.81.51':443
- 'ip##e.ru':80
- 'zx####.suroot.com':443
- 'zx###6.pp.ua':80
- 'sd##ni.ru':80
- ip##gger.ru/12P73.jpg
- 2i#.ru/member_photo/2819.gif
- ip##e.ru/
- zx###6.pp.ua/hf/PortableRadmin.7z
- sd##ni.ru/173628
- DNS ASK ip##e.ru
- DNS ASK ip##gger.ru
- DNS ASK 2i#.ru
- DNS ASK zx####.suroot.com
- DNS ASK zx###6.pp.ua
- DNS ASK sd##ni.ru