Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'PHIME2002AB' = '<SYSTEM32>\Com\csc.vbs'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'AhnLab V3Lite Tray Procesec' = '"<Полный путь к вирусу>"'
- %HOMEPATH%\Start Menu\Programs\Startup\msiexec.lnk
- [<HKLM>\SYSTEM\ControlSet001\Services\GHGYBDYBVJHZCGMP] 'ImagePath' = '<DRIVERS>\GHGYBDYBVJHZCGMP.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\GHGYBDYB] 'ImagePath' = '<DRIVERS>\GHGYBDYB.sys'
- NtWriteVirtualMemory, драйвер-обработчик: GHGYBDYBVJHZCGMP.sys
- NtReadVirtualMemory, драйвер-обработчик: GHGYBDYBVJHZCGMP.sys
- NtOpenProcess, драйвер-обработчик: GHGYBDYBVJHZCGMP.sys
- <Полный путь к вирусу>
- %WINDIR%\Help\winhttp.reg
- <SYSTEM32>\config\ATIODE.bat
- <DRIVERS>\GHGYBDYBVJHZCGMP.sys
- <DRIVERS>\GHGYBDYB.sys
- <DRIVERS>\MTConfog.exe
- %WINDIR%\<Имя вируса>.exe
- <SYSTEM32>\msiexec.vbe
- <SYSTEM32>\Com\csc.vbs
- <SYSTEM32>\Com\csc.vbs
- %WINDIR%\<Имя вируса>.exe
- <Полный путь к вирусу>
- <DRIVERS>\GHGYBDYBVJHZCGMP.sys
- <DRIVERS>\GHGYBDYB.sys
- 'www.10#.com.tw':80
- www.10#.com.tw/ip/
- DNS ASK www.10#.com.tw
- '<IP-адрес в локальной сети>':1035