Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'mssecua' = '"<SYSTEM32>\mssecua.exe"'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\AgentProtect] 'ImagePath' = 'system32\Drivers\AgentProtect.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\AgentProtect] 'Start' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\leakdev] 'ImagePath' = 'system32\Drivers\leakdev.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\leakdev] 'Start' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SDPAUpdate] 'ImagePath' = '%ProgramFiles%\SDPA\SDPAUpdate.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\SDPAUpdate] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\AgentLookerC] 'ImagePath' = 'system32\Drivers\AgentLookerC.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\AgentLookerC] 'Start' = '00000000'
Вредоносные функции:
Запускает на исполнение:
- '%ProgramFiles%\SDPA\SDPA.exe'
- '%ProgramFiles%\SDPA\SDPAUpdate.exe'
- '%ProgramFiles%\SDPA\SDPAUpdate.exe' -i
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\winlogon.exe
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtSetInformationFile, драйвер-обработчик: AgentLookerC.sys
- NtWriteFile, драйвер-обработчик: AgentLookerC.sys
- NtOpenThread, драйвер-обработчик: AgentProtect.sys
- NtCreateFile, драйвер-обработчик: AgentLookerC.sys
- NtOpenProcess, драйвер-обработчик: AgentProtect.sys
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\SDPA\mssecua.exe
- %WINDIR%\SDPA\login.jpg
- <SYSTEM32>\SDPA\login.jpg
- %WINDIR%\SDPA\mssecua.exe
- <SYSTEM32>\SDPA\SDPA.exe
- %WINDIR%\SDPA\option.ini
- <SYSTEM32>\SDPA\option.ini
- %WINDIR%\SDPA\dbg.ini
- <SYSTEM32>\SDPA\dbg.ini
- %WINDIR%\SDPA\CtrlAp.dll
- <SYSTEM32>\SDPA\DevCon.dll
- %WINDIR%\SDPA\leakdev.sys
- <SYSTEM32>\SDPA\leakdev.sys
- %WINDIR%\SDPA\DevCon.dll
- %WINDIR%\SDPA\SDPA.exe
- %WINDIR%\SDPA\SDPA.log
- <DRIVERS>\AgentLookerC.sys
- <DRIVERS>\leakdev.sys
- %ProgramFiles%\SDPA\procinfo.ini
- <DRIVERS>\AgentProtect.sys
- %WINDIR%\SDPA\SDPA_File.log
- <SYSTEM32>\config\system\LOCALS~1\Temp\~DFB8E7.tmp
- <SYSTEM32>\SDPA\update.ini
- %WINDIR%\SDPA\SDPAUpdate.exe
- <SYSTEM32>\SDPA\SDPAUpdate.exe
- %WINDIR%\SDPA\update.ini
- %WINDIR%\Temp\SecuDrivePA3\SDPAupdate.ini
- <SYSTEM32>\mssecua.exe
- %WINDIR%\SDPA\SDPAUpdate.log
- <SYSTEM32>\SDPA\CtrlAp.dll
- %ProgramFiles%\SDPA\leakdev.sys
- %ProgramFiles%\SDPA\DevCon.dll
- %ProgramFiles%\SDPA\dbg.ini
- %ProgramFiles%\SDPA\login.jpg
- %ProgramFiles%\SDPA\SDPAUpdate.exe
- %ProgramFiles%\SDPA\option.ini
- %ProgramFiles%\SDPA\mssecua.exe
- %ProgramFiles%\SDPA\AgentProtect2K.sys
- %ProgramFiles%\SDPA\AgentLookerC.sys
- %ProgramFiles%\SDPA\AgentGuard.dll
- %ProgramFiles%\SDPA\AgentProtect.sys
- %ProgramFiles%\SDPA\CtrlAp.dll
- %ProgramFiles%\SDPA\CtrlAc.dll
- %ProgramFiles%\SDPA\BurnLog.dll
- %ProgramFiles%\SDPA\update.ini
- %WINDIR%\SDPA\AgentProtect2K.sys
- <SYSTEM32>\SDPA\AgentProtect2K.sys
- %WINDIR%\SDPA\AgentProtect.sys
- <SYSTEM32>\SDPA\BurnLog.dll
- %WINDIR%\SDPA\CtrlAc.dll
- <SYSTEM32>\SDPA\CtrlAc.dll
- %WINDIR%\SDPA\BurnLog.dll
- <SYSTEM32>\SDPA\AgentGuard.dll
- %ProgramFiles%\SDPA\SDPA.exe
- %ProgramFiles%\SDPA\Styles\Vista.cjstyles
- %WINDIR%\SDPA\AgentGuard.dll
- <SYSTEM32>\SDPA\AgentProtect.sys
- %WINDIR%\SDPA\AgentLookerC.sys
- <SYSTEM32>\SDPA\AgentLookerC.sys
Сетевая активность:
Подключается к:
- '11#.#6.129.102':9004
- '11#.#6.129.102':80
TCP:
Запросы HTTP GET:
- http://11#.#6.129.102/update/SDPAupdate.ini
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
