Техническая информация
- [<HKLM>\SYSTEM\ControlSet001\Services\vfcpp] 'Start' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\vfcpp] 'ImagePath' = 'system32\drivers\bailh.sys'
- Библиотека-обработчик для всех процессов: <SYSTEM32>\TOAG.dll
- NtQueryValueKey, драйвер-обработчик: bailh.sys
- <SYSTEM32>\TOAG.dll
- <DRIVERS>\bailh.sys
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\TOAG.dll,DllRegisterServer
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\TOAG.dll,DllUnregisterServer