Техническая информация
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'run' = '"<SYSTEM32>\winupdate.exe"'
- '<SYSTEM32>\winupdate.exe'
- NtQuerySystemInformation, драйвер-обработчик: ntload.sys
- NtQueryDirectoryFile, драйвер-обработчик: ntload.sys
- <SYSTEM32>\winupdate.exe
- %HOMEPATH%\Desktop\Security Updates.URL
- <SYSTEM32>\ntload.sys
- <SYSTEM32>\winupdate.exe
- 'al####travel.com':80
- http://al####travel.com/adminka/scripts2/t.php?ni#################################
- http://al####travel.com/adminka/scripts2/stat.php?ni#################################
- DNS ASK al####travel.com
- ClassName: 'Shell_TrayWnd' WindowName: ''