Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,%WINDIR%\wscntfy32.exe,%WINDIR%\help\svchost.exe'
- %WINDIR%\wscntfy32.exe
- %WINDIR%\encoder.txt
- %WINDIR%\wscntfy32.exe
- 'r2####s.3322.org':80
- r2####s.3322.org/encoder.txt?23###
- DNS ASK r2####s.3322.org
- '<IP-адрес в локальной сети>':1036
- ClassName: 'Mozilla/4.0' WindowName: '%WINDIR%\wscntfy32.exe'
- ClassName: 'Mozilla/4.0' WindowName: '<Полный путь к вирусу>'