Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'nor_vir' = 'C:\Temp\_K_M_1_HookAndSend.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ad_vir' = 'C:\Temp\_K_M_1_OnAdminWorks.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] 'C:\Temp\_K_M_1_HookAndSend.exe' = 'C:\Temp\_K_M_1_HookAndSend.exe:*:Enabled:_K_M_1_HookAndSend'
- Средство контроля пользовательских учетных записей (UAC)
- 'C:\Temp\_K_M_1_OnAdminWorks.exe'
- 'C:\Temp\_K_M_1_HookAndSend.exe'
- Библиотека-обработчик для всех процессов: C:\Temp\_K_M_1_HookDll.dll
- NtQuerySystemInformation, драйвер-обработчик: _K_M_1_FoldHider.sys
- NtQueryDirectoryFile, драйвер-обработчик: _K_M_1_FoldHider.sys
- C:\Temp\_K_M_1_HookAndSend.exe
- C:\Temp\_K_M_1_FoldHider.sys
- C:\Temp\_K_M_1_dropper.exe
- C:\Temp\_K_M_1_HookAndSend.exe
- C:\Temp\_K_M_1_HookDll.dll
- C:\Temp\_K_M_1_OnAdminWorks.exe
- '12#.#30.240.223':21