Technical Information
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'wexplorer' = '%APPDATA%\Microsoft\SysWOW_x86_64\csrssys.exe'
- '%APPDATA%\Microsoft\SysWOW_x86_64\csrssys.exe'
- %APPDATA%\Microsoft\SysWOW_x86_64\srv_x86.ocx
- %APPDATA%\Microsoft\SysWOW_x86_64\cygwin32.bin
- %APPDATA%\Microsoft\SysWOW_x86_64\csrssys.exe
- %APPDATA%\Microsoft\SysWOW_x86_64\srv_x86\openssh.ocx
- %APPDATA%\Microsoft\SysWOW_x86_64\srv_x86\nthserv.img
- %APPDATA%\Microsoft\SysWOW_x86_64\srv_x86\icxml.exe
- %APPDATA%\Microsoft\SysWOW_x86_64\srv_x86\ntw32.bin
- %APPDATA%\Microsoft\SysWOW_x86_64\csrssys.exe
- %APPDATA%\Microsoft\SysWOW_x86_64\csrssys.exe
- '<Private IP address>':80
- ClassName: 'Indicator' WindowName: '(null)'