Техническая информация
- <SYSTEM32>\userinit.exe файлом %TEMP%\tmp77373732727.tmp
- %TEMP%\tmp77373732727.tmp
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:ldrsoft'
- <SYSTEM32>\userinit.exe в <SYSTEM32>\userinitxx.exe
- из <SYSTEM32>\userinit.exe в <SYSTEM32>\userinit.exe.tmp
- из <Полный путь к вирусу> в %TEMP%\tmp77373732727.tmp
- 'dn####provider.com':80
- http://dn####provider.com/test/img.php?v=############################################
- DNS ASK dn####provider.com