Техническая информация
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'shell' = '%AppData%\Windows\sidebar.exe,explorer.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '0' = ''
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] '0' = ''
- %HOMEPATH%\Start Menu\Programs\Startup\Windows.lnk
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe'
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\942e269bf17484d3cc1068046dc2007d_23ef5514-3059-436f-a4a7-4cefaab20eb1
- %APPDATA%\Windows\sidebar.exe:Zone.Identifier
- <Полный путь к вирусу>:Zone.Identifier
- %APPDATA%\Windows\sidebar.exe
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- 'sw#####.chickenkiller.com':4045
- DNS ASK sw#####.chickenkiller.com
- ClassName: 'Indicator' WindowName: ''