в батнике запуск start.exe с параметром рандом декой файл с рандомным расширением
декой бесполезен, чисто для отвлечения внимания, цимес в расширении, т.к. для него в юзерском CLASSES_ROOT прописан свой обработчик, который опять же использует mshta.exe в кач-ве прокси и запускает JScript, который читает registry entry и подаёт её на вход повершеллу
итого на диске один с виду безвредный батник, большинство антивирусов отслеживает только дисковые операции, против автостарт тулз -- несколько прокси
Руссиновичевский ауторунс прекрасно работает с оффлайн, у него единственное белое пятно это обработчики WMI ивентов
no subject
в батнике запуск start.exe с параметром рандом декой файл с рандомным расширением
декой бесполезен, чисто для отвлечения внимания, цимес в расширении, т.к. для него в юзерском CLASSES_ROOT прописан свой обработчик, который опять же использует mshta.exe в кач-ве прокси и запускает JScript, который читает registry entry и подаёт её на вход повершеллу
итого на диске один с виду безвредный батник, большинство антивирусов отслеживает только дисковые операции, против автостарт тулз -- несколько прокси
Руссиновичевский ауторунс прекрасно работает с оффлайн, у него единственное белое пятно это обработчики WMI ивентов