Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\olkfile\Shell\Open\Command] '' = '%ProgramFiles%\TFG\Agent\IgAgent.exe %1'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'IgAgent' = '"%ProgramFiles%\TFG\Agent\IgAgent.exe"'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\SecuFile] 'ImagePath' = '%ProgramFiles%\TFG\Agent\SecuFile.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\IGSvc] 'ImagePath' = '%ProgramFiles%\TFG\Agent\IgSvc.exe -start'
- [<HKLM>\SYSTEM\ControlSet001\Services\IGSvc] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '%ProgramFiles%\TFG\Agent\IgAgent.exe'
- '<SYSTEM32>\cacls.exe' "%ProgramFiles%\TFG\Agent\Log" /G everyone:F
- '%ProgramFiles%\TFG\Agent\IgSvc.exe' -start
- '<SYSTEM32>\cmd.exe' /S /D /c" echo Y"
- '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\10.0\Privileged" /v bProtectedMode /t REG_DWORD /d 0 /f
- '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\11.0\Privileged" /v bProtectedMode /t REG_DWORD /d 0 /f
- '<SYSTEM32>\cacls.exe' "%ProgramFiles%\TFG\Agent\Log\*" /G everyone:F
- '<SYSTEM32>\cmd.exe' /c ""%ProgramFiles%\TFG\Agent\Patchs\Adobe_Reader(X-XI)_ProtectedMode.bat""
- '%ProgramFiles%\TFG\Agent\Update\TFGInstallTool.exe'
- '<SYSTEM32>\regsvr32.exe' /s "%ProgramFiles%\TFG\Agent\IgIcon.dll"
- '%TEMP%\nsa3.tmp\ns4.tmp' %ProgramFiles%\TFG\Agent\Update\EveryonePurview.exe
- '%ProgramFiles%\TFG\Agent\Update\EveryonePurview.exe'
- '<SYSTEM32>\cmd.exe' /c echo Y|"<SYSTEM32>\cacls.exe" "%ProgramFiles%\TFG\Agent\Log" /G everyone:F
- '<SYSTEM32>\cmd.exe' /c echo Y|"<SYSTEM32>\cacls.exe" "%ProgramFiles%\TFG\Agent\Log\*" /G everyone:F
- '<SYSTEM32>\regsvr32.exe' /s "%ProgramFiles%\TFG\Agent\IgMenu.dll"
- '%ProgramFiles%\TFG\Agent\IgSvc.exe'
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %ProgramFiles%\TFG\Agent\IgAgent.dll
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtOpenProcess, драйвер-обработчик: SecuFile.sys
Изменения в файловой системе:
Создает следующие файлы:
- %ProgramFiles%\TFG\Agent\Update\Log\log.ini
- %ProgramFiles%\TFG\Agent\Update\AST\SetupScan.exe
- %ProgramFiles%\TFG\Agent\Update\Log\IgAgent.log
- %ProgramFiles%\TFG\Agent\Update\Log\LogConfig.ini
- %ProgramFiles%\TFG\Agent\Update\AST\msvcr71.dll
- %ProgramFiles%\TFG\Agent\Update\AST\base\Trojan.avd
- %ProgramFiles%\TFG\Agent\Update\AST\Viruskill.dll
- %ProgramFiles%\TFG\Agent\Update\AST\msvcp60.dll
- %ProgramFiles%\TFG\Agent\Update\XML.dll
- %ProgramFiles%\TFG\Agent\Update\language\lang_ch.xml
- %ProgramFiles%\TFG\Agent\Update\xerces-c_2_6.dll
- %ProgramFiles%\TFG\Agent\Update\xerces-depdom_2_6.dll
- %ProgramFiles%\TFG\Agent\Update\language\lang_tw.xml
- %ProgramFiles%\TFG\Agent\Update\gdiplus.dll
- %ProgramFiles%\TFG\Agent\Update\language\lang_en.xml
- %ProgramFiles%\TFG\Agent\Update\language\lang_jp.xml
- %ProgramFiles%\TFG\Agent\Update\BackUpFile\TFGFileBackup.exe
- %TEMP%\~TF6.tmp
- %APPDATA%\TFG\InfoGuard.lang
- %ProgramFiles%\TFG\Agent\Log\IgAgent.log
- %APPDATA%\TFG\igcfg.dat
- %TEMP%\~TFA.tmp
- %TEMP%\~TFC.tmp
- %TEMP%\~TF7.tmp
- %TEMP%\~TF8.tmp
- %ProgramFiles%\TFG\Agent\Update\Patchs\Adobe_Reader(X-XI)_ProtectedMode.bat
- %ProgramFiles%\TFG\Agent\Update\Patchs\Patch.ini
- %ProgramFiles%\TFG\Agent\Update\Mixin\Mixin_Setup.exe
- %ProgramFiles%\TFG\Agent\Update\EveryonePurview.exe
- %TEMP%\~TF5.tmp
- %ProgramFiles%\TFG\Agent\Log\IgSvc.log
- %ProgramFiles%\TFG\Agent\Update\Patchs\mi_office.exe
- %ProgramFiles%\TFG\Agent\Update\Patchs\mi_uedit32.exe
- %ProgramFiles%\TFG\Agent\Update\IgAgentSimp.dll
- %ProgramFiles%\TFG\Agent\Update\igcfg.dat
- %ProgramFiles%\TFG\Agent\Update\IgAgent.dll
- %ProgramFiles%\TFG\Agent\Update\IgAgent.exe
- %ProgramFiles%\TFG\Agent\Update\IgToken.dll
- %ProgramFiles%\TFG\Agent\Update\FT_ND_API.dll
- %ProgramFiles%\TFG\Agent\Update\IgDetour.dll
- %ProgramFiles%\TFG\Agent\Update\IgSvc.exe
- %ProgramFiles%\TFG\Agent\Update\IgIcon.dll
- %ProgramFiles%\TFG\Agent\Update\IgMenu.dll
- %TEMP%\nsl2.tmp
- %ProgramFiles%\TFG\Agent\Update\TFGInstallTool.exe
- %ProgramFiles%\TFG\Agent\Update\esfp_api.dll
- %ProgramFiles%\TFG\Agent\Update\IgAce.dll
- %ProgramFiles%\TFG\Agent\Update\About.bmp
- %ProgramFiles%\TFG\Agent\Update\dmssleay.dll
- %ProgramFiles%\TFG\Agent\Update\IGToken_ePass.dll
- %ProgramFiles%\TFG\Agent\Update\ExceptionProc.dll
- %ProgramFiles%\TFG\Agent\Update\RestartProcess.exe
- %ProgramFiles%\TFG\Agent\Update\libcurl.dll
- %ProgramFiles%\TFG\Agent\Update\dbghelp.dll
- %ProgramFiles%\TFG\Agent\Update\typetrait.dat
- %ProgramFiles%\TFG\Agent\Update\ExportAgentConfig.dll
- %ProgramFiles%\TFG\Agent\Update\agentfile.list
- %ProgramFiles%\TFG\Agent\Update\msvcp60.dll
- %ProgramFiles%\TFG\Agent\Update\SecuFileX64.inf
- %ProgramFiles%\TFG\Agent\Update\SecuFile.sys
- %ProgramFiles%\TFG\Agent\Update\IGToken_eSafe.dll
- %ProgramFiles%\TFG\Agent\Update\InfoGuard.lang
- %ProgramFiles%\TFG\Agent\Update\SecuFileX64Installer.exe
- %ProgramFiles%\TFG\Agent\Update\zlib1.dll
- %ProgramFiles%\TFG\Agent\Update\SecuFileX64_6.sys
- %ProgramFiles%\TFG\Agent\Update\SecuFileX64_5.sys
Удаляет следующие файлы:
- %TEMP%\~TF7.tmp
- %TEMP%\~TF6.tmp
- %TEMP%\~TF8.tmp
- %TEMP%\~TFC.tmp
- %TEMP%\~TFA.tmp
- %TEMP%\nsa3.tmp\nsExec.dll
- %TEMP%\nsa3.tmp\ns4.tmp
- %TEMP%\nsa3.tmp\System.dll
- %ProgramFiles%\TFG\Agent\Log\IgSvc.log
- %TEMP%\~TF5.tmp
Перемещает следующие файлы:
- %ProgramFiles%\TFG\Agent\Update\Mixin\Mixin_Setup.exe в %ProgramFiles%\TFG\Agent\Mixin\Mixin_Setup.exe
- %ProgramFiles%\TFG\Agent\Update\Log\LogConfig.ini в %ProgramFiles%\TFG\Agent\Log\LogConfig.ini
- %ProgramFiles%\TFG\Agent\Update\Log\log.ini в %ProgramFiles%\TFG\Agent\Log\log.ini
- %ProgramFiles%\TFG\Agent\Update\Patchs\mi_office.exe в %ProgramFiles%\TFG\Agent\Patchs\mi_office.exe
- %ProgramFiles%\TFG\Agent\Update\Patchs\Adobe_Reader(X-XI)_ProtectedMode.bat в %ProgramFiles%\TFG\Agent\Patchs\Adobe_Reader(X-XI)_ProtectedMode.bat
- %ProgramFiles%\TFG\Agent\Update\msvcp60.dll в %ProgramFiles%\TFG\Agent\msvcp60.dll
- %ProgramFiles%\TFG\Agent\Update\Log\IgAgent.log в %ProgramFiles%\TFG\Agent\Log\IgAgent.log
- %ProgramFiles%\TFG\Agent\Update\language\lang_en.xml в %ProgramFiles%\TFG\Agent\language\lang_en.xml
- %ProgramFiles%\TFG\Agent\Update\language\lang_ch.xml в %ProgramFiles%\TFG\Agent\language\lang_ch.xml
- %ProgramFiles%\TFG\Agent\Update\InfoGuard.lang в %ProgramFiles%\TFG\Agent\InfoGuard.lang
- %ProgramFiles%\TFG\Agent\Update\libcurl.dll в %ProgramFiles%\TFG\Agent\libcurl.dll
- %ProgramFiles%\TFG\Agent\Update\language\lang_tw.xml в %ProgramFiles%\TFG\Agent\language\lang_tw.xml
- %ProgramFiles%\TFG\Agent\Update\language\lang_jp.xml в %ProgramFiles%\TFG\Agent\language\lang_jp.xml
- %ProgramFiles%\TFG\Agent\Update\Patchs\mi_uedit32.exe в %ProgramFiles%\TFG\Agent\Patchs\mi_uedit32.exe
- %ProgramFiles%\TFG\Agent\Update\xerces-c_2_6.dll в %ProgramFiles%\TFG\Agent\xerces-c_2_6.dll
- %ProgramFiles%\TFG\Agent\Update\typetrait.dat в %ProgramFiles%\TFG\Agent\typetrait.dat
- %ProgramFiles%\TFG\Agent\Update\TFGInstallTool.exe в %ProgramFiles%\TFG\Agent\TFGInstallTool.exe
- %ProgramFiles%\TFG\Agent\Update\zlib1.dll в %ProgramFiles%\TFG\Agent\zlib1.dll
- %ProgramFiles%\TFG\Agent\Update\XML.dll в %ProgramFiles%\TFG\Agent\XML.dll
- %ProgramFiles%\TFG\Agent\Update\xerces-depdom_2_6.dll в %ProgramFiles%\TFG\Agent\xerces-depdom_2_6.dll
- %ProgramFiles%\TFG\Agent\Update\SecuFileX64_6.sys в %ProgramFiles%\TFG\Agent\SecuFileX64_6.sys
- %ProgramFiles%\TFG\Agent\Update\SecuFile.sys в %ProgramFiles%\TFG\Agent\SecuFile.sys
- %ProgramFiles%\TFG\Agent\Update\RestartProcess.exe в %ProgramFiles%\TFG\Agent\RestartProcess.exe
- %ProgramFiles%\TFG\Agent\Update\Patchs\Patch.ini в %ProgramFiles%\TFG\Agent\Patchs\Patch.ini
- %ProgramFiles%\TFG\Agent\Update\SecuFileX64_5.sys в %ProgramFiles%\TFG\Agent\SecuFileX64_5.sys
- %ProgramFiles%\TFG\Agent\Update\SecuFileX64Installer.exe в %ProgramFiles%\TFG\Agent\SecuFileX64Installer.exe
- %ProgramFiles%\TFG\Agent\Update\SecuFileX64.inf в %ProgramFiles%\TFG\Agent\SecuFileX64.inf
- %ProgramFiles%\TFG\Agent\Update\IGToken_eSafe.dll в %ProgramFiles%\TFG\Agent\IGToken_eSafe.dll
- %ProgramFiles%\TFG\Agent\Update\dmssleay.dll в %ProgramFiles%\TFG\Agent\dmssleay.dll
- %ProgramFiles%\TFG\Agent\Update\dbghelp.dll в %ProgramFiles%\TFG\Agent\dbghelp.dll
- %ProgramFiles%\TFG\Agent\Update\BackUpFile\TFGFileBackup.exe в %ProgramFiles%\TFG\Agent\BackUpFile\TFGFileBackup.exe
- %ProgramFiles%\TFG\Agent\Update\ExceptionProc.dll в %ProgramFiles%\TFG\Agent\ExceptionProc.dll
- %ProgramFiles%\TFG\Agent\Update\EveryonePurview.exe в %ProgramFiles%\TFG\Agent\EveryonePurview.exe
- %ProgramFiles%\TFG\Agent\Update\esfp_api.dll в %ProgramFiles%\TFG\Agent\esfp_api.dll
- %ProgramFiles%\TFG\Agent\Update\AST\Viruskill.dll в %ProgramFiles%\TFG\Agent\AST\Viruskill.dll
- %ProgramFiles%\TFG\Agent\Update\AST\base\Trojan.avd в %ProgramFiles%\TFG\Agent\AST\base\Trojan.avd
- %ProgramFiles%\TFG\Agent\Update\agentfile.list в %ProgramFiles%\TFG\Agent\agentfile.list
- %ProgramFiles%\TFG\Agent\Update\About.bmp в %ProgramFiles%\TFG\Agent\About.bmp
- %ProgramFiles%\TFG\Agent\Update\AST\SetupScan.exe в %ProgramFiles%\TFG\Agent\AST\SetupScan.exe
- %ProgramFiles%\TFG\Agent\Update\AST\msvcr71.dll в %ProgramFiles%\TFG\Agent\AST\msvcr71.dll
- %ProgramFiles%\TFG\Agent\Update\AST\msvcp60.dll в %ProgramFiles%\TFG\Agent\AST\msvcp60.dll
- %ProgramFiles%\TFG\Agent\Update\ExportAgentConfig.dll в %ProgramFiles%\TFG\Agent\ExportAgentConfig.dll
- %ProgramFiles%\TFG\Agent\Update\IgMenu.dll в %ProgramFiles%\TFG\Agent\IgMenu.dll
- %ProgramFiles%\TFG\Agent\Update\IgIcon.dll в %ProgramFiles%\TFG\Agent\IgIcon.dll
- %ProgramFiles%\TFG\Agent\Update\IgDetour.dll в %ProgramFiles%\TFG\Agent\IgDetour.dll
- %ProgramFiles%\TFG\Agent\Update\IGToken_ePass.dll в %ProgramFiles%\TFG\Agent\IGToken_ePass.dll
- %ProgramFiles%\TFG\Agent\Update\IgToken.dll в %ProgramFiles%\TFG\Agent\IgToken.dll
- %ProgramFiles%\TFG\Agent\Update\IgSvc.exe в %ProgramFiles%\TFG\Agent\IgSvc.exe
- %ProgramFiles%\TFG\Agent\Update\igcfg.dat в %ProgramFiles%\TFG\Agent\igcfg.dat
- %ProgramFiles%\TFG\Agent\Update\IgAce.dll в %ProgramFiles%\TFG\Agent\IgAce.dll
- %ProgramFiles%\TFG\Agent\Update\gdiplus.dll в %ProgramFiles%\TFG\Agent\gdiplus.dll
- %ProgramFiles%\TFG\Agent\Update\FT_ND_API.dll в %ProgramFiles%\TFG\Agent\FT_ND_API.dll
- %ProgramFiles%\TFG\Agent\Update\IgAgentSimp.dll в %ProgramFiles%\TFG\Agent\IgAgentSimp.dll
- %ProgramFiles%\TFG\Agent\Update\IgAgent.exe в %ProgramFiles%\TFG\Agent\IgAgent.exe
- %ProgramFiles%\TFG\Agent\Update\IgAgent.dll в %ProgramFiles%\TFG\Agent\IgAgent.dll
Подменяет следующие файлы:
- %ProgramFiles%\TFG\Agent\Log\IgSvc.log
Сетевая активность:
Подключается к:
- '<L###LNET>.0.45':7701
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
