Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'choice' = 'C:\Documents'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'choice' = 'C:\Documents'
- '%TEMP%\csrss.exe' -keyhide -prochide 3076 -reg %TEMP%\choice.exe -proc 3076 %TEMP%\choice.exe
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe'
- '<SYSTEM32>\schtasks.exe' /Create /TN "Update\choice" /XML "%TEMP%\1591468053.xml"
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe
- %APPDATA%\88E6680F\ak.tmp
- %TEMP%\%USERNAME%2.txt
- %TEMP%\%USERNAME%8
- %TEMP%\%USERNAME%7
- %TEMP%\1591468053.xml
- <Полный путь к вирусу>:ZONE.identifier
- %TEMP%\csrss.exe:ZONE.identifier
- %TEMP%\csrss.exe
- %TEMP%\csrss.exe
- %TEMP%\%USERNAME%7
- %TEMP%\%USERNAME%8
- %TEMP%\1591468053.xml
- %TEMP%\%USERNAME%2.txt
- из <Полный путь к вирусу> в %TEMP%\choice.exe
- 'ki####.ddnsking.com':999
- DNS ASK ki####.ddnsking.com
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''