Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 'eplrr9' = '{6ABB4BD4-B094-440A-A3F3-F911BA74B693}'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\chgsprt] 'Start' = '00000001'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
следующие пользовательские процессы:
- iexplore.exe
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtCreateProcessEx, драйвер-обработчик: chgsprt.sys
- NtCreateProcess, драйвер-обработчик: chgsprt.sys
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\chrr2.ini
- <SYSTEM32>\HPCHuninstaller.exe
- <SYSTEM32>\chgsprt.sys
- <SYSTEM32>\idchr2.dat
- <SYSTEM32>\mspdnx.dll
