Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = 'userinit.exe,"<SYSTEM32>\clientmon.exe"'
- '<SYSTEM32>\schtasks.exe' /create /sc onlogon /tn "Preview Handler Surrogate Host" /rl highest /tr "'\910281\prevhost.exe' /startup" /f
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\clientmon.exe
- C:\910281\prevhost.exe
- C:\0d9ec5df77c078aae85de9c117906fc8075bfd70
- C:\0d9ec5df77c078aae85de9c117906fc8075bfd70
- из <Полный путь к файлу> в %TEMP%\3543
- 'pu###c2.zzzz.io':9266
- 'ne#####.securedns.tech':9266
- DNS ASK pu###c2.zzzz.io
- DNS ASK ne#####.securedns.tech