Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '_tdiserv_' = '<SYSTEM32>\_tdiserv_\_tdicli_.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\_tdiserv_HOOK] 'Start' = '00000001'
- <SYSTEM32>\_tdiserv_\_tdicli_.exe <Полный путь к вирусу>
- Библиотека-обработчик для всех процессов: <SYSTEM32>\_tdiserv_\RecKey.dll
- NtQueryDirectoryFile, драйвер-обработчик: TdiUpdate.sys
- NtQuerySystemInformation, драйвер-обработчик: TdiUpdate.sys
- NtEnumerateValueKey, драйвер-обработчик: TdiUpdate.sys
- NtDeviceIoControlFile, драйвер-обработчик: TdiUpdate.sys
- NtEnumerateKey, драйвер-обработчик: TdiUpdate.sys
- <SYSTEM32>\_tdiserv_\_tdicli_.exe
- <SYSTEM32>\_tdiserv_\TdiUpdate.sys
- <SYSTEM32>\_tdiserv_\Config.dat
- <SYSTEM32>\_tdiserv_\Guid.txt
- <SYSTEM32>\_tdiserv_\setup.exe
- <SYSTEM32>\_tdiserv_\_tdicli_.exe
- <SYSTEM32>\_tdiserv_\Reckey.dll
- '61.##8.122.100':20