Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'NVIDIA' = '"<Полный путь к вирусу>" -autorun'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\sysvideo] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\StacSV] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\net1.exe start StacSV
- <SYSTEM32>\ipconfig.exe /all
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtOpenProcess, драйвер-обработчик: sysvideo.sys
- NtQuerySystemInformation, драйвер-обработчик: sysvideo.sys
- NtTerminateProcess, драйвер-обработчик: sysvideo.sys
- NtCreateProcessEx, драйвер-обработчик: sysvideo.sys
- NtCreateThread, драйвер-обработчик: sysvideo.sys
- NtMapViewOfSection, драйвер-обработчик: sysvideo.sys
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- <DRIVERS>\sysvideo.sys
- %TEMP%\doaetk.sys
- %TEMP%\dxwziz.dll
Удаляет следующие файлы:
- %TEMP%\doaetk.sys
Сетевая активность:
Подключается к:
- 'ln#.#ay678.com':8662
- 'ln#.#ay678.com':8663
- 'ln#.#ay678.com':8664
- 'ln#.#ay678.com':8661
UDP:
- DNS ASK ln#.#ay678.com
