Техническая информация
- Копирует своё тело с добавленнием в заголовок DllFlag по фиксированному пути: 'C:\ProgramData\Java\jre6\bin\jwdeploy.dll'
- Переименовывает своё основное тело для последующего удаления.
- Создаёт новый процесс explorer.exe и внедряет в него сохранённую ранее jwdeploy.dll. Дальнейшее закрепление происходит из контекста explorer.exe.
- Создаёт службу оболочки: [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 'msseces' = {CLSID} [<HKCR>\CLSID\{CLSID}\InProcServer32] '(Default)' = C:\ProgramData\Java\jre6\bin\jwdeploy.dll'.
- Внедряет dll в другие процессы.
- Служба "Java Deployment Service".
- Ключ автозапуска: [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'msseces' = 'rundll32.exe C:\ProgramData\Java\jre6\bin\jwdeploy.dll,Init'
- C:\ProgramData\Java\jre6\bin\jcfg.pdb
- C:\ProgramData\Java\jre6\bin\readme.txt
- C:\ProgramData\Java\jre6\bin\jwdeploy.dll
Действия, выполняемые программой в конкретный момент, зависят от имени основного модуля процесса, в контексте которого находится троянская длл. Из контекста explorer.exe малварь пытается подключиться к удалённом серверу для отстука об установке и получения обновлённой конфигурации и команд, а также внедрить dll в другие процессы.
- downexec
- die
- logoff
- killos
- reboot
- loaddll
- updatecfg
- installplugin
- startklg
- startwebklg
- getpcinfo
- tvstart
- monikoff
- getadminpass
Имеет функционал кейлоггера. Записанные нажатия клавиш отправляет на удалённый сервер. Для удалённого управления заражённой машиной может использовать скрытно устанавливаемый teamviewer. Пытается внедриться в СКЗИ "Агава". Ищет используемые ключевые файлы файлов ДБО iBank (для этого перехватывает функции в процессах Java.exe и Javaw.exe, ищет сигнатуры "iBKS"). Из-за нестабильности устанавливаемых перехватов может приводить к периодическому аварийному завершению процессов.