Техническая информация
- [<HKLM>\SYSTEM\ControlSet001\Services\johnpmcm] 'ImagePath' = '<DRIVERS>\johnpmcm.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\johnpmcm] 'ImagePath' = 'System32\DRIVERS\johnpmcm.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\johnpmcm] 'Start' = '00000000'
- Библиотека-обработчик для всех процессов: <SYSTEM32>\ingmolbl.dll
- NtQueryValueKey, драйвер-обработчик: johnpmcm.sys
- %TEMP%\tmp1.CAB
- %TEMP%\tmp2.CAB
- <SYSTEM32>\ingmolbl.dll
- <DRIVERS>\johnpmcm.sys
- %TEMP%\tmp1.CAB
- %TEMP%\tmp2.CAB
- '<Полный путь к файлу>' /rerun
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\ingmolbl.dll,DllCanUnloadNow