Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\PXSVC] 'ImagePath' = '"<Полный путь к файлу>" -service'
- [HKLM\System\CurrentControlSet\Services\pxdf] 'Start' = '00000000'
- [HKLM\System\CurrentControlSet\Services\pxdf] 'ImagePath' = 'system32\drivers\pxdf.sys'
- [HKLM\System\CurrentControlSet\Services\synapse] 'ImagePath' = 'System32\drivers\synapse.sys'
- [HKLM\System\CurrentControlSet\Services\pxdf] 'imagepath' = '<DRIVERS>\pxdf.sys'
Создает следующие сервисы
- 'PXSVC' "<Полный путь к файлу>" -service
- 'pxdf' <DRIVERS>\pxdf.sys
- 'synapse' System32\drivers\synapse.sys
Вредоносные функции
Регистрирует фильтр файловой системы
- [HKLM\System\CurrentControlSet\Services\synapse] 'Group' = 'FSFilter Anti-Virus'
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\liballegro.dll
- %WINDIR%\syswow64\drivers\pxdf.sys
- <DRIVERS>\synapse.sys
- <Текущая директория>\synhook.dll
- %WINDIR%\temp\uddf824.tmp
- %ALLUSERSPROFILE%\pxdata\dba.db
- %ALLUSERSPROFILE%\pxdata\dbb.db
- %ALLUSERSPROFILE%\pxdata\dbc.db
- %ALLUSERSPROFILE%\pxdata\dbe.db
Удаляет следующие файлы
- %WINDIR%\temp\uddf824.tmp
Сетевая активность
UDP
- DNS ASK g5#.##evxinfo.com
Другое
Перезапускает анализируемый образец
