в батнике запуск start.exe с параметром рандом декой файл с рандомным расширением
декой бесполезен, чисто для отвлечения внимания, цимес в расширении, т.к. для него в юзерском CLASSES_ROOT прописан свой обработчик, который опять же использует mshta.exe в кач-ве прокси и запускает JScript, который читает registry entry и подаёт её на вход повершеллу
итого на диске один с виду безвредный батник, большинство антивирусов отслеживает только дисковые операции, против автостарт тулз -- несколько прокси
Руссиновичевский ауторунс прекрасно работает с оффлайн, у него единственное белое пятно это обработчики WMI ивентов
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
timeasmymeasure
no subject
Date: 2017-04-17 07:19 pm (UTC)в батнике запуск start.exe с параметром рандом декой файл с рандомным расширением
декой бесполезен, чисто для отвлечения внимания, цимес в расширении, т.к. для него в юзерском CLASSES_ROOT прописан свой обработчик, который опять же использует mshta.exe в кач-ве прокси и запускает JScript, который читает registry entry и подаёт её на вход повершеллу
итого на диске один с виду безвредный батник, большинство антивирусов отслеживает только дисковые операции, против автостарт тулз -- несколько прокси
Руссиновичевский ауторунс прекрасно работает с оффлайн, у него единственное белое пятно это обработчики WMI ивентов