Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\PROCMON20] 'ImagePath' = '<DRIVERS>\PROCMON20.SYS'
Вредоносные функции:
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtQueryKey, драйвер-обработчик: PROCMON20.SYS
- NtOpenKey, драйвер-обработчик: PROCMON20.SYS
- NtLoadKey, драйвер-обработчик: PROCMON20.SYS
- NtUnloadKey, драйвер-обработчик: PROCMON20.SYS
- NtSetValueKey, драйвер-обработчик: PROCMON20.SYS
- NtQueryValueKey, драйвер-обработчик: PROCMON20.SYS
- NtFlushKey, драйвер-обработчик: PROCMON20.SYS
- NtDeleteKey, драйвер-обработчик: PROCMON20.SYS
- NtCreateKey, драйвер-обработчик: PROCMON20.SYS
- NtClose, драйвер-обработчик: PROCMON20.SYS
- NtEnumerateValueKey, драйвер-обработчик: PROCMON20.SYS
- NtEnumerateKey, драйвер-обработчик: PROCMON20.SYS
- NtDeleteValueKey, драйвер-обработчик: PROCMON20.SYS
Изменения в файловой системе:
Создает следующие файлы:
- <DRIVERS>\PROCMON20.SYS
Удаляет следующие файлы:
- <DRIVERS>\PROCMON20.SYS
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
