Technical Information
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'microsoft.exe' = '%APPDATA%\Microsoft\microsoft.exe'
- %APPDATA%\microsoft\windows\start menu\programs\startup\microsoft.lnk
- %APPDATA%\microsoft\microsoft.exe
- 'li###fake.com':80
- http://li###fake.com/download/microsoft.exe
- http://li###fake.com/app_end?Ke#######################################################################################
- http://li###fake.com/app_u?Ke#######################################################################################
- http://li###fake.com/app_d?Ke#######################################################################################
- http://li###fake.com/app_r?Ke#######################################################################################
- http://li###fake.com/aval?Ke#######################################################################################################
- DNS ASK google.com
- DNS ASK li###fake.com
- '%APPDATA%\microsoft\microsoft.exe'
- '%WINDIR%\syswow64\cmd.exe' /c del "<Current directory>\Setup.exe"