Техническая информация
- [<HKLM>\SYSTEM\ControlSet001\Services\ProtectS] 'ImagePath' = '%WINDIR%\ProtectS.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\ProtectS] 'Start' = '00000001'
- NtOpenProcess, драйвер-обработчик: ProtectS.sys
- NtTerminateProcess, драйвер-обработчик: ProtectS.sys
- NtCreateKey, драйвер-обработчик: ProtectS.sys
- NtOpenKey, драйвер-обработчик: ProtectS.sys
- %WINDIR%\ProtectS.sys
- <Текущая директория>\ProtectS.sys
- %WINDIR%\ProtectS.sys
- <Текущая директория>\ProtectS.sys
- <DRIVERS>\etc\hosts
- 'lb.##ctl.com':888
- 'yt######2715.blog.163.com':80
- http://yt######2715.blog.163.com/blog/static/237383032201582321153369/
- DNS ASK lb.##ctl.com
- DNS ASK yt######2715.blog.163.com
- ClassName: 'Shell_TrayWnd' WindowName: ''