Technical Information
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WinNT' = '%APPDATA%\WinNT\vWinNT.exe'
- '%APPDATA%\WinNT\WinNT.exe' /pid=6420
- '%APPDATA%\WinNT\WinNT.exe' /pid=4360
- '%APPDATA%\WinNT\WinNT.exe' /pid=6656
- '%APPDATA%\WinNT\WinNT.exe' /pid=6596
- '%APPDATA%\WinNT\WinNT.exe' /pid=5252
- '%APPDATA%\WinNT\WinNT.exe' /pid=4552
- '%APPDATA%\WinNT\WinNT.exe' /pid=5276
- '%APPDATA%\WinNT\WinNT.exe' /pid=4952
- '%APPDATA%\WinNT\WinNT.exe' /pid=4800
- '%APPDATA%\WinNT\WinNT.exe' /pid=8040
- '%APPDATA%\WinNT\WinNT.exe' /pid=7916
- '%APPDATA%\WinNT\WinNT.exe' /pid=7464
- '%APPDATA%\WinNT\WinNT.exe' /pid=7176
- '%APPDATA%\WinNT\WinNT.exe' /pid=7004
- '%APPDATA%\WinNT\WinNT.exe' /pid=7836
- '%APPDATA%\WinNT\WinNT.exe' /pid=6716
- '%APPDATA%\WinNT\WinNT.exe' /pid=6160
- '%APPDATA%\WinNT\WinNT.exe' /pid=4092
- '%APPDATA%\WinNT\WinNT.exe' /pid=5060
- '%APPDATA%\WinNT\WinNT.exe' /pid=6340
- '%APPDATA%\WinNT\WinNT.exe' /pid=6184
- '%APPDATA%\WinNT\WinNT.exe' /pid=5444
- '%APPDATA%\WinNT\WinNT.exe' /pid=8116
- '%APPDATA%\WinNT\WinNT.exe' /pid=8056
- '%APPDATA%\WinNT\WinNT.exe' /pid=3464
- '%APPDATA%\WinNT\WinNT.exe' /pid=6484
- '%APPDATA%\WinNT\WinNT.exe' /pid=2896
- '%APPDATA%\WinNT\WinNT.exe' /pid=4172
- '%APPDATA%\WinNT\WinNT.exe' /pid=3504
- '%APPDATA%\WinNT\WinNT.exe' /pid=6524
- '%APPDATA%\WinNT\WinNT.exe' /pid=3064
- '%APPDATA%\WinNT\WinNT.exe' /pid=2964
- '%APPDATA%\WinNT\WinNT.exe' /pid=8096
- '%APPDATA%\WinNT\WinNT.exe' /pid=6404
- '%APPDATA%\WinNT\WinNT.exe' /pid=2708
- '%APPDATA%\WinNT\WinNT.exe' /pid=6600
- '%APPDATA%\WinNT\WinNT.exe' /pid=5504
- '%APPDATA%\WinNT\WinNT.exe' /pid=500
- '%APPDATA%\WinNT\WinNT.exe' /pid=8136
- '%APPDATA%\WinNT\WinNT.exe' /pid=5040
- '%APPDATA%\WinNT\WinNT.exe' /pid=6164
- '%APPDATA%\WinNT\WinNT.exe' /pid=6264
- '%APPDATA%\WinNT\WinNT.exe' /pid=6440
- '%APPDATA%\WinNT\WinNT.exe' /pid=2984
- '%APPDATA%\WinNT\WinNT.exe' /pid=7844
- '%APPDATA%\WinNT\WinNT.exe' /pid=1728
- '%APPDATA%\WinNT\WinNT.exe' /pid=320
- '%APPDATA%\WinNT\WinNT.exe' /pid=5080
- '%APPDATA%\WinNT\WinNT.exe' /pid=7496
- '%APPDATA%\WinNT\WinNT.exe' /pid=2904
- '%APPDATA%\WinNT\WinNT.exe' /pid=6240
- '%APPDATA%\WinNT\WinNT.exe' /pid=3884
- '%APPDATA%\WinNT\WinNT.exe' /pid=4004
- '%APPDATA%\WinNT\WinNT.exe' /pid=6284
- '%APPDATA%\WinNT\WinNT.exe' /pid=7696
- '%APPDATA%\WinNT\WinNT.exe' /pid=752
- '%APPDATA%\WinNT\WinNT.exe' /pid=7956
- '%APPDATA%\WinNT\WinNT.exe' /pid=6900
- '%APPDATA%\WinNT\WinNT.exe' /pid=6980
- '%APPDATA%\WinNT\WinNT.exe' /pid=7604
- '%APPDATA%\WinNT\WinNT.exe' /pid=7504
- '%APPDATA%\WinNT\WinNT.exe' /pid=5756
- '%APPDATA%\WinNT\WinNT.exe' /pid=2460
- '%APPDATA%\WinNT\WinNT.exe' /pid=5796
- '%APPDATA%\WinNT\WinNT.exe' /pid=4792
- '%APPDATA%\WinNT\WinNT.exe' /pid=7460
- '%APPDATA%\WinNT\WinNT.exe' /pid=7320
- '%APPDATA%\WinNT\WinNT.exe' /pid=7600
- '%APPDATA%\WinNT\WinNT.exe' /pid=7700
- '%APPDATA%\WinNT\WinNT.exe' /pid=6960
- '%APPDATA%\WinNT\WinNT.exe' /pid=6836
- '%APPDATA%\WinNT\WinNT.exe' /pid=7196
- '%APPDATA%\WinNT\WinNT.exe' /pid=7100
- '%APPDATA%\WinNT\WinNT.exe' /pid=8100
- '%APPDATA%\WinNT\WinNT.exe' /pid=8076
- '%APPDATA%\WinNT\WinNT.exe' /pid=1720
- '%APPDATA%\WinNT\WinNT.exe' /pid=1160
- '%APPDATA%\WinNT\WinNT.exe' /pid=7800
- '%APPDATA%\WinNT\WinNT.exe' /pid=7716
- '%APPDATA%\WinNT\WinNT.exe' /pid=7960
- '%APPDATA%\WinNT\WinNT.exe' /pid=8060
- '%APPDATA%\WinNT\WinNT.exe' /pid=5160
- '%APPDATA%\WinNT\WinNT.exe' /pid=6320
- '%APPDATA%\WinNT\WinNT.exe' /pid=3012
- '%APPDATA%\WinNT\WinNT.exe' /pid=6260
- '%APPDATA%\WinNT\WinNT.exe' /pid=6384
- '%APPDATA%\WinNT\WinNT.exe' -a sha256 -o http://ni############_Dazzle:MeJazzle@192.168.0.14:8344 -T 83 -l yes -t 1
- '%APPDATA%\WinNT\WinNT.exe' /pid=5240
- '%APPDATA%\WinNT\WinNT.exe' /pid=2492
- '%APPDATA%\WinNT\WinNT.exe' /pid=6540
- '%APPDATA%\WinNT\WinNT.exe' /pid=6560
- '%APPDATA%\WinNT\WinNT.exe' /pid=6780
- '%APPDATA%\WinNT\WinNT.exe' /pid=6616
- '%APPDATA%\WinNT\WinNT.exe' /pid=6044
- '%APPDATA%\WinNT\WinNT.exe' /pid=4980
- '%APPDATA%\WinNT\WinNT.exe' /pid=6376
- '%APPDATA%\WinNT\WinNT.exe' /pid=4580
- '%APPDATA%\WinNT\WinNT.exe' /pid=7264
- '%APPDATA%\WinNT\WinNT.exe' /pid=6816
- '%APPDATA%\WinNT\WinNT.exe' /pid=7324
- '%APPDATA%\WinNT\WinNT.exe' /pid=7116
- '%APPDATA%\WinNT\WinNT.exe' /pid=6756
- '%APPDATA%\WinNT\WinNT.exe' /pid=6764
- '%APPDATA%\WinNT\WinNT.exe' /pid=6904
- '%APPDATA%\WinNT\WinNT.exe' /pid=6496
- '%APPDATA%\WinNT\WinNT.exe' /pid=7476
- '%APPDATA%\WinNT\WinNT.exe' /pid=7216
- '%APPDATA%\WinNT\WinNT.exe' /pid=7976
- '%APPDATA%\WinNT\WinNT.exe' /pid=7744
- '%APPDATA%\WinNT\WinNT.exe' /pid=7236
- '%APPDATA%\WinNT\WinNT.exe' /pid=7484
- '%APPDATA%\WinNT\WinNT.exe' /pid=7884
- '%APPDATA%\WinNT\WinNT.exe' /pid=7396
- '%APPDATA%\WinNT\WinNT.exe' /pid=3904
- '%APPDATA%\WinNT\WinNT.exe' /pid=6504
- '%APPDATA%\WinNT\WinNT.exe' /pid=3384
- '%APPDATA%\WinNT\WinNT.exe' /pid=6584
- '%APPDATA%\WinNT\WinNT.exe' /pid=6220
- '%APPDATA%\WinNT\WinNT.exe' /pid=4880
- '%APPDATA%\WinNT\WinNT.exe' /pid=4680
- '%APPDATA%\WinNT\WinNT.exe' /pid=4780
- '%APPDATA%\WinNT\WinNT.exe' /pid=4960
- '%APPDATA%\WinNT\WinNT.exe' /pid=5776
- '%APPDATA%\WinNT\WinNT.exe' /pid=6636
- '%APPDATA%\WinNT\WinNT.exe' /pid=3712
- '%APPDATA%\WinNT\WinNT.exe' /pid=3472
- '%APPDATA%\WinNT\WinNT.exe' /pid=3964
- '%APPDATA%\WinNT\WinNT.exe' /pid=4472
- '%APPDATA%\WinNT\WinNT.exe' /pid=4972
- '%APPDATA%\WinNT\WinNT.exe' (downloaded from the Internet)
- %APPDATA%\WinNT\WinNT.exe
- from <Full path to virus> to %APPDATA%\WinNT\vWinNT.exe
- 'my####emshake.info':80
- 'wp#d':80
- my####emshake.info/UFA.exe
- wp#d/wpad.dat
- DNS ASK my####emshake.info
- DNS ASK wp#d
- ClassName: 'Indicator' WindowName: '(null)'