Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'run' = '<SYSTEM32>\notapad.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'winxp' = '<SYSTEM32>\windows.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe "%CommonProgramFiles%\system\smss.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Command Processor] 'AutoRun' = 'echo off | server.bat'
- <Имя диска съемного носителя>:\broken_hearth.exe
- <Имя диска съемного носителя>:\jomblo.exe
- <SYSTEM32>\cmd.exe
- ecmd.exe
- <SYSTEM32>\sysconfyg.exe
- <SYSTEM32>\msconfig.com
- <SYSTEM32>\regedit.com
- %HOMEPATH%\My Documents\jomblo.exe
- <SYSTEM32>\jomblo.exe
- %PROGRAM_FILES%\jomblo.exe
- C:\jomblo.exe
- <SYSTEM32>\send.sys
- %CommonProgramFiles%\System\smss.exe
- <SYSTEM32>\notapad.exe
- <SYSTEM32>\cmd.com
- <SYSTEM32>\server.bat
- <SYSTEM32>\windows.exe