Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'System.EnterpriseServices.Thunk' = '"%TEMP%\ngen.exe"'
- %TEMP%\tmp1.tmp.exe <Полный путь к вирусу>
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES3.tmp" "%TEMP%\vbc2.tmp"
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe /noconfig @"%TEMP%\9i_1jyrk.cmdline"
- %TEMP%\RES3.tmp
- %TEMP%\vbc2.tmp
- %TEMP%\ngen.exe
- %TEMP%\tmp1.tmp.exe
- %TEMP%\9i_1jyrk.0.vb
- <Текущая директория>\zCom.resources
- %TEMP%\9i_1jyrk.out
- %TEMP%\9i_1jyrk.cmdline
- %TEMP%\9i_1jyrk.0.vb
- %TEMP%\9i_1jyrk.out
- <Текущая директория>\zCom.resources
- %TEMP%\RES3.tmp
- %TEMP%\vbc2.tmp
- %TEMP%\9i_1jyrk.cmdline
- 'localhost':127
- 'be##z.com':80
- 'wp#d':80
- be##z.com/IP.php
- wp#d/wpad.dat
- DNS ASK be##z.com
- DNS ASK wp#d
- '<IP-адрес в локальной сети>':1036