Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'AppInit_DLLs' = '%APPDATA%\cert2app.dll'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'LoadAppInit_DLLs' = '00000001'
- [<HKLM>\SYSTEM\ControlSet001\Services\Spooler] 'Start' = '00000002'
- <SYSTEM32>\dllcache\atmarpc.sys файлом <SYSTEM32>\dllcache\atmarpc.sys.new
- <DRIVERS>\atmarpc.sys файлом <DRIVERS>\atmarpc.sys.new
- %APPDATA%\1234.exe *<Полный путь к вирусу>
- <SYSTEM32>\net1.exe start spooler
- <SYSTEM32>\spoolsv.exe
- <SYSTEM32>\net.exe stop spooler
- <SYSTEM32>\net1.exe stop spooler
- %ALLUSERSPROFILE%\Application Data\Microsoft\Mse\os.dat
- %ALLUSERSPROFILE%\Application Data\Microsoft\Mse\nt.dat
- C:\error.log
- <SYSTEM32>\dllcache\atmarpc.sys.new
- <DRIVERS>\atmarpc.sys.new
- %APPDATA%\atmarpc.sys
- %APPDATA%\cert2app.dll
- %APPDATA%\1234.exe
- %APPDATA%\cert2prt.dll
- <DRIVERS>\osapi.log
- %APPDATA%\cert2dll.dll
- 'ti#.###a-analysis.com':8080
- DNS ASK ti#.###a-analysis.com