Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\windrvNT] 'Start' = '00000002'
Вредоносные функции:
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtQueryInformationProcess, драйвер-обработчик: windrvNT.sys
- NtSetInformationFile, драйвер-обработчик: windrvNT.sys
- NtQueryDirectoryFile, драйвер-обработчик: windrvNT.sys
- NtCreateFile, драйвер-обработчик: windrvNT.sys
- NtOpenFile, драйвер-обработчик: windrvNT.sys
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\windrvNT.sys
- C:\sccfg.sys
- %APPDATA%\$S5~&8.tmp
- <SYSTEM32>\suppdll.dll
- %APPDATA%\.#\MBX@B68@3B39C0.###
- %APPDATA%\.#\MBX@B68@3B39B0.###
Удаляет следующие файлы:
- %APPDATA%\$S5~&8.tmp
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
