Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,%PROGRAM_FILES%\ESTsoft\Common\winlogon.exe'
- '%PROGRAM_FILES%\ESTsoft\Common\winlogon.exe'
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 2 "%PROGRAM_FILES%\estsoft\common\winlogon.exe"
- '<SYSTEM32>\attrib.exe' "<Полный путь к вирусу>" -h -r -s
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram ""%PROGRAM_FILES%\ESTsoft\Common\winlogon.exe"" Windows
- %TEMP%\~DFFD58BDE7E552357C.TMP
- <Текущая директория>\Kill.bat
- %TEMP%\~DF1F607C4C63A91F4F.TMP
- %PROGRAM_FILES%\ESTsoft\Common\winlogon.exe
- %TEMP%\~DF1F607C4C63A91F4F.TMP
- '<IP-адрес в локальной сети>':62535
- DNS ASK dn#.##ftncsi.com
- DNS ASK ac##.#othome.co.kr
- ClassName: 'Shell_TrayWnd' WindowName: ''