Техническая информация
- [<HKLM>\SYSTEM\ControlSet001\Services\ProtectS] 'ImagePath' = '%WINDIR%\ProtectS.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\ProtectS] 'Start' = '00000001'
- NtOpenProcess, драйвер-обработчик: ProtectS.sys
- NtTerminateProcess, драйвер-обработчик: ProtectS.sys
- NtCreateKey, драйвер-обработчик: ProtectS.sys
- NtOpenKey, драйвер-обработчик: ProtectS.sys
- %WINDIR%\ProtectS.sys
- <Текущая директория>\ProtectS.sys
- %WINDIR%\ProtectS.sys
- <Текущая директория>\ProtectS.sys
- <DRIVERS>\etc\hosts
- 'bl##.163.com':80
- 'lb.##8tl.com':18910
- http://wm#####6.blog.163.com/blog/static/256488001201511228522273/ via bl##.163.com
- http://bl##.163.com/m14755570019_1/blog/static/2504830572015628948330/
- DNS ASK wm#####6.blog.163.com
- DNS ASK bl##.163.com
- DNS ASK lb.##8tl.com