Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, %APPDATA%\MicrosoftServices\MicrosoftServices\3Dmax.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, %APPDATA%\MicrosoftServices\MicrosoftServices\3Dmax.exe'
- '%APPDATA%\MicrosoftServices\MicrosoftServices\csrss.exe' -prochide 3020 -reg %APPDATA%\MicrosoftServices\MicrosoftServices\3Dmax.exe -avkill-proc 3020 %APPDATA%\MicrosoftServices\MicrosoftServices\3Dmax.exe
- '<SYSTEM32>\cmd.exe' /c echo [zoneTransfer]ZoneID = 2 > "%APPDATA%\MicrosoftServices\MicrosoftServices\csrss.exe":ZONE.identifier & exit
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe'
- '<SYSTEM32>\cmd.exe' /c echo [zoneTransfer]ZoneID = 2 > "<Полный путь к файлу>":ZONE.identifier & exit
- '<SYSTEM32>\cmd.exe' /c echo [zoneTransfer]ZoneID = 2 > "%APPDATA%\MicrosoftServices\MicrosoftServices\3Dmax.exe":ZONE.identifier & exit
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe
- %APPDATA%\MicrosoftServices\MicrosoftServices\csrss.exe:ZONE.identifier
- %APPDATA%\MicrosoftServices\MicrosoftServices\csrss.exe
- <Полный путь к файлу>:ZONE.identifier
- %APPDATA%\MicrosoftServices\MicrosoftServices\csrss.exe
- из <Полный путь к файлу> в %APPDATA%\MicrosoftServices\MicrosoftServices\3Dmax.exe
- 'yu####e.myq-see.com':9512
- DNS ASK yu####e.myq-see.com