Technical Information
- <SYSTEM32>\ctfmon.exe with %TEMP%\ctfmon.exe.temp
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Set-MpPreference -DisableRealtimeMonitoring $true
- %TEMP%\ctfmon.exe
- from %TEMP%\ctfmon.exe to %TEMP%\ctfmon.exe.temp
- '%TEMP%\ctfmon.exe'
- '<SYSTEM32>\ctfmon.exe'
- '<SYSTEM32>\cmd.exe' /c attrib +h +s +r "<SYSTEM32>\ctfmon.exe"
- '<SYSTEM32>\attrib.exe' +h +s +r "<SYSTEM32>\ctfmon.exe"