Техническая информация
- [<HKLM>\SYSTEM\ControlSet001\Services\NtmsLibSvc] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\NtmsLib] 'Start' = '00000002'
- <SYSTEM32>\dllcache\rdpwd.sys файлом <SYSTEM32>\dllcache\rdpwd.sys.new
- <DRIVERS>\rdpwd.sys файлом <DRIVERS>\rdpwd.sys.tmp
- '%TEMP%\~FB1.tmp' 60<Полный путь к вирусу>
- '<SYSTEM32>\svchost.exe' -k NtmsLib
- NtEnumerateValueKey, драйвер-обработчик: NtmsLib.sys
- NtQueryDirectoryFile, драйвер-обработчик: NtmsLib.sys
- NtDeviceIoControlFile, драйвер-обработчик: NtmsLib.sys
- NtEnumerateKey, драйвер-обработчик: NtmsLib.sys
- %TEMP%\~FB1.tmp
- <SYSTEM32>\NtmsLib\log.ini
- <DRIVERS>\NtmsLib.sys.tmp
- <SYSTEM32>\NtmsLib.dll
- <SYSTEM32>\NtmsLib.dll
- <DRIVERS>\rdpwd.sys
- <DRIVERS>\rdpwd.sys.new в <DRIVERS>\rdpwd.sys
- <DRIVERS>\NtmsLib.sys.tmp в <DRIVERS>\NtmsLib.sys