Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] '*371856317' = '"%WINDIR%\371856317\spoolsv.exe"'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] '*371856317' = '"%WINDIR%\371856317\spoolsv.exe"'
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\I371856317.bat" "
- %TEMP%\I371856317.bat
- из <Полный путь к вирусу> в %WINDIR%\371856317\spoolsv.exe
- 'ju###ooda.pw':10000
- DNS ASK ju###ooda.pw
- DNS ASK www.microsoft.com