Техническая информация
- [<HKLM>\SYSTEM\ControlSet001\Services\Windows Service Notification] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\Windows Network Notification] 'Start' = '00000002'
- NtQueryDirectoryFile, драйвер-обработчик: Notify.sys
- NtQuerySystemInformation, драйвер-обработчик: Notify.sys
- NtDeviceIoControlFile, драйвер-обработчик: Notify.sys
- NtOpenProcess, драйвер-обработчик: Notify.sys
- <Полный путь к вирусу>
- <SYSTEM32>\Notify.sys
- 'www.z9#.cn':80
- 'ir#.#tembuy.cn':6669
- 'ir#.#tembuy.cn':7000
- 'ir#.#tembuy.cn':6668
- 'www.bi###i.com.cn':12345
- 'ir#.#tembuy.cn':81
- 'ir#.#tembuy.cn':6667
- www.z9#.cn/2.asp
- DNS ASK www.z9#.cn
- DNS ASK ir#.#tembuy.cn
- DNS ASK www.bi###i.com.cn