Техническая информация
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\Help\svhost.exe' = '%WINDIR%\Help\svhost.exe:*:Enabled:Ftp...'
- %WINDIR%\Help\svhost.exe
- %WINDIR%\Help\farway.exe
- %WINDIR%\Help\svhost.exe (загружен из сети Интернет)
- %WINDIR%\Help\farway.exe (загружен из сети Интернет)
- <SYSTEM32>\netsh.exe firewall add allowedprogram %WINDIR%\Help\svhost.exe Ftp...
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\atualiza[1].jpg
- %WINDIR%\Help\svhost.exe
- %WINDIR%\Help\farway.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\FarFarWay[1].jpg
- %TEMP%\~DFC593.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\atualiza[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\FarFarWay[1].jpg
- из <Полный путь к вирусу> в %WINDIR%\Help\<Имя вируса>.exe
- 'at#####aexe1.rbcmail.ru':80
- 'fo####.rbcmail.ru':80
- 'localhost':1036
- at#####aexe1.rbcmail.ru/atualiza.jpg
- fo####.rbcmail.ru/FarFarWay.jpg
- DNS ASK at#####aexe1.rbcmail.ru
- DNS ASK fo####.rbcmail.ru
- ClassName: '' WindowName: ''