Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\NetworkAgent] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\NetworkAgent] 'ImagePath' = '<SYSTEM32>\wwtask.exe -service'
- [<HKLM>\System\CurrentControlSet\Services\Tz0FF] 'Start' = '00000000'
- [<HKLM>\System\CurrentControlSet\Services\Tz0FF] 'ImagePath' = 'system32\DRIVERS\Tz0FF.sys'
- [<HKLM>\System\CurrentControlSet\Services\AwtaskService] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\AwtaskService] 'ImagePath' = '%WINDIR%\NetworkClient\API\awtask.exe'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\Tz0HookInjectionDriver] 'ImagePath' = '%WINDIR%\NetworkClient\Driver\awtask32.sys'
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\wwtask.exe' = '<SYSTEM32>\wwtask.exe:*:Enabled:Tz0 Netw...
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] 'Tz0 Network Agent Driver' = '<SYSTEM32>\wwtask.exe:*:Enabled:Tz0 Net...
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] 'Tz0 Network Agent Driver' = '<SYSTEM32>\wwtask.exe:*:Enabled:Tz0 N...
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
Создает и загружает библиотеки (эксплоит)
- %WINDIR%\networkclient\library\awtask32.dll
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' firewall set opmode mode = DISABLE profile = ALL
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
- <SYSTEM32>\ctfmon.exe
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\networkclient\cfg\core.cfg
- %WINDIR%\networkclient\data\tz0awt.dat
- %WINDIR%\networkclient\driver\awtask32.sys
- %WINDIR%\networkclient\library\awtask32.dll
- %WINDIR%\networkclient\cfg\guard.cfg
- %WINDIR%\networkclient\cfg\perf.cfg
- %WINDIR%\networkclient\library\tz0input.dll
- %WINDIR%\networkclient\data\tz0act.data
- <DRIVERS>\tz0ff.sys
- %WINDIR%\networkclient\api\awtask.exe
- %WINDIR%\networkclient\cfg\event.cfg
- %WINDIR%\networkclient\data\tz0deb.data
- %WINDIR%\networkclient\data\tz0adv.data
- %WINDIR%\networkclient\cfg\dbsec.cfg
- <SYSTEM32>\wwtask.exe
- %WINDIR%\networkclient\library\tz0ff32.dll
- %WINDIR%\networkclient\cfg\bclog.cfg
Присваивает атрибут 'скрытый' для следующих файлов
- <SYSTEM32>\wwtask.exe
Удаляет следующие файлы
- %WINDIR%\networkclient\data\tz0awt.dat
Самоудаляется.
Сетевая активность
UDP
- DNS ASK tz#.##nepar.com.br
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'Program Manager'
- ClassName: 'TrayNotifyWnd' WindowName: ''
- ClassName: 'SysPager' WindowName: ''
- ClassName: 'ToolbarWindow32' WindowName: ''
- ClassName: 'MS_WINHELP' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\wwtask.exe' -service
- '%WINDIR%\networkclient\api\awtask.exe' /install /silent
- '%WINDIR%\networkclient\api\awtask.exe'
- '%WINDIR%\networkclient\api\awtask.exe' /install /silent' (со скрытым окном)
- '<SYSTEM32>\netsh.exe' firewall set opmode mode = DISABLE profile = ALL' (со скрытым окном)
