Техническая информация
- %WINDIR%\Tasks\SA.DAT
- [<HKLM>\SYSTEM\ControlSet001\Services\Schedule] 'Start' = '00000002'
- '<SYSTEM32>\shed.exe' schedule.dll,netsvcs
- '%TEMP%\<Имя вируса>.exe'
- '<SYSTEM32>\rundll32.exe' schedule.dll,netsvcs exec
- '<SYSTEM32>\wscript.exe' %WINDIR%\TEMP\7564e987e4272afb63aac0ab15a7c277.vbs //B
- '<SYSTEM32>\rundll32.exe' schedule.dll,netsvcs move aa94aac1b1748fdbcf5337621dc1b20c <Имя вируса>.exe W-P-E.exe
- %TEMP%\<Имя вируса>.exe
- %WINDIR%\Temp\7564e987e4272afb63aac0ab15a7c277
- <SYSTEM32>\shed.exe
- <SYSTEM32>\schedule.dll
- %TEMP%\aa94aac1b1748fdbcf5337621dc1b20c
- %WINDIR%\Temp\7564e987e4272afb63aac0ab15a7c277.vbs
- %TEMP%\aa94aac1b1748fdbcf5337621dc1b20c
- 'nc###ate.lua.cn':80
- 'nc####te.9097939.cn':80
- nc###ate.lua.cn/v2010/s.php?si##########################################################################################################
- nc####te.9097939.cn/v2010/s.php?si##########################################################################################################
- DNS ASK nc###ate.lua.cn
- DNS ASK nc####te.9097939.cn