Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\MSNDSRV] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\MSCFG32.EXE'
- '<SYSTEM32>\MSDIRECTX.EXE'
- '<SYSTEM32>\msnadt.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c %TEMP%\INSTV3.BAT
- '<SYSTEM32>\attrib.exe' -r "<SYSTEM32>\msnadt.exe"
- '<SYSTEM32>\cmd.exe' /c %TEMP%\INSTV4.BAT
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtReleaseSemaphore, драйвер-обработчик: unknown
- NtRemoveIoCompletion, драйвер-обработчик: unknown
- NtRegisterThreadTerminatePort, драйвер-обработчик: unknown
- NtReleaseMutant, драйвер-обработчик: unknown
- NtReplaceKey, драйвер-обработчик: unknown
- NtReplyPort, драйвер-обработчик: unknown
- NtRemoveProcessDebug, драйвер-обработчик: unknown
- NtRenameKey, драйвер-обработчик: unknown
- NtReadVirtualMemory, драйвер-обработчик: unknown
- NtQueueApcThread, драйвер-обработчик: unknown
- NtRaiseException, драйвер-обработчик: unknown
- NtQueryVirtualMemory, драйвер-обработчик: unknown
- NtQueryVolumeInformationFile, драйвер-обработчик: unknown
- NtReadFileScatter, драйвер-обработчик: unknown
- NtReadRequestData, драйвер-обработчик: unknown
- NtRaiseHardError, драйвер-обработчик: unknown
- NtReadFile, драйвер-обработчик: unknown
- NtReplyWaitReceivePort, драйвер-обработчик: unknown
- NtSaveKey, драйвер-обработчик: unknown
- NtSaveKeyEx, драйвер-обработчик: unknown
- NtResumeProcess, драйвер-обработчик: unknown
- NtResumeThread, драйвер-обработчик: unknown
- NtSetBootEntryOrder, драйвер-обработчик: unknown
- NtSetBootOptions, драйвер-обработчик: unknown
- NtSaveMergedKeys, драйвер-обработчик: unknown
- NtSecureConnectPort, драйвер-обработчик: unknown
- NtRestoreKey, драйвер-обработчик: unknown
- NtRequestDeviceWakeup, драйвер-обработчик: unknown
- NtRequestPort, драйвер-обработчик: unknown
- NtReplyWaitReceivePortEx, драйвер-обработчик: unknown
- NtReplyWaitReplyPort, драйвер-обработчик: unknown
- NtResetEvent, драйвер-обработчик: unknown
- NtResetWriteWatch, драйвер-обработчик: unknown
- NtRequestWaitReplyPort, драйвер-обработчик: unknown
- NtRequestWakeupLatency, драйвер-обработчик: unknown
- NtQueryValueKey, драйвер-обработчик: unknown
- NtQueryInformationPort, драйвер-обработчик: unknown
- NtQueryInformationProcess, драйвер-обработчик: unknown
- NtQueryInformationFile, драйвер-обработчик: unknown
- NtQueryInformationJobObject, драйвер-обработчик: unknown
- NtQueryInstallUILanguage, драйвер-обработчик: unknown
- NtQueryIntervalProfile, драйвер-обработчик: unknown
- NtQueryInformationThread, драйвер-обработчик: unknown
- NtQueryInformationToken, драйвер-обработчик: unknown
- NtQueryInformationAtom, драйвер-обработчик: unknown
- NtQueryDefaultUILanguage, драйвер-обработчик: unknown
- NtQueryDirectoryFile, драйвер-обработчик: unknown
- NtQueryDebugFilterState, драйвер-обработчик: unknown
- NtQueryDefaultLocale, драйвер-обработчик: unknown
- NtQueryEvent, драйвер-обработчик: unknown
- NtQueryFullAttributesFile, драйвер-обработчик: unknown
- NtQueryDirectoryObject, драйвер-обработчик: unknown
- NtQueryEaFile, драйвер-обработчик: unknown
- NtQueryIoCompletion, драйвер-обработчик: unknown
- NtQuerySystemEnvironmentValue, драйвер-обработчик: unknown
- NtQuerySystemEnvironmentValueEx, драйвер-обработчик: unknown
- NtQuerySemaphore, драйвер-обработчик: unknown
- NtQuerySymbolicLinkObject, драйвер-обработчик: unknown
- NtQueryTimer, драйвер-обработчик: unknown
- NtQueryTimerResolution, драйвер-обработчик: unknown
- NtQuerySystemInformation, драйвер-обработчик: unknown
- NtQuerySystemTime, драйвер-обработчик: unknown
- NtQuerySecurityObject, драйвер-обработчик: unknown
- NtQueryMutant, драйвер-обработчик: unknown
- NtQueryObject, драйвер-обработчик: unknown
- NtQueryKey, драйвер-обработчик: unknown
- NtQueryMultipleValueKey, драйвер-обработчик: unknown
- NtQueryQuotaInformationFile, драйвер-обработчик: unknown
- NtQuerySection, драйвер-обработчик: unknown
- NtQueryOpenSubKeys, драйвер-обработчик: unknown
- NtQueryPerformanceCounter, драйвер-обработчик: unknown
- NtTraceEvent, драйвер-обработчик: unknown
- NtTranslateFilePath, драйвер-обработчик: unknown
- NtTerminateThread, драйвер-обработчик: unknown
- NtTestAlert, драйвер-обработчик: unknown
- NtUnloadKeyEx, драйвер-обработчик: unknown
- NtUnlockFile, драйвер-обработчик: unknown
- NtUnloadDriver, драйвер-обработчик: unknown
- NtUnloadKey, драйвер-обработчик: unknown
- NtTerminateProcess, драйвер-обработчик: unknown
- NtStartProfile, драйвер-обработчик: unknown
- NtStopProfile, драйвер-обработчик: unknown
- NtShutdownSystem, драйвер-обработчик: unknown
- NtSignalAndWaitForSingleObject, драйвер-обработчик: unknown
- NtSystemDebugControl, драйвер-обработчик: unknown
- NtTerminateJobObject, драйвер-обработчик: unknown
- NtSuspendProcess, драйвер-обработчик: unknown
- NtSuspendThread, драйвер-обработчик: unknown
- NtUnlockVirtualMemory, драйвер-обработчик: unknown
- NtYieldExecution, драйвер-обработчик: unknown
- NtCreateKeyedEvent, драйвер-обработчик: unknown
- NtWriteRequestData, драйвер-обработчик: unknown
- NtWriteVirtualMemory, драйвер-обработчик: unknown
- NtWaitForKeyedEvent, драйвер-обработчик: unknown
- NtQueryPortInformationProcess, драйвер-обработчик: unknown
- NtOpenKeyedEvent, драйвер-обработчик: unknown
- NtReleaseKeyedEvent, драйвер-обработчик: unknown
- NtWriteFileGather, драйвер-обработчик: unknown
- NtWaitForDebugEvent, драйвер-обработчик: unknown
- NtWaitForMultipleObjects, драйвер-обработчик: unknown
- NtUnmapViewOfSection, драйвер-обработчик: unknown
- NtVdmControl, драйвер-обработчик: unknown
- NtWaitLowEventPair, драйвер-обработчик: unknown
- NtWriteFile, драйвер-обработчик: unknown
- NtWaitForSingleObject, драйвер-обработчик: unknown
- NtWaitHighEventPair, драйвер-обработчик: unknown
- NtSetVolumeInformationFile, драйвер-обработчик: unknown
- NtSetInformationFile, драйвер-обработчик: unknown
- NtSetInformationJobObject, драйвер-обработчик: unknown
- NtSetHighWaitLowEventPair, драйвер-обработчик: unknown
- NtSetInformationDebugObject, драйвер-обработчик: unknown
- NtSetInformationProcess, драйвер-обработчик: unknown
- NtSetInformationThread, драйвер-обработчик: unknown
- NtSetInformationKey, драйвер-обработчик: unknown
- NtSetInformationObject, драйвер-обработчик: unknown
- NtSetHighEventPair, драйвер-обработчик: unknown
- NtSetDefaultHardErrorPort, драйвер-обработчик: unknown
- NtSetDefaultLocale, драйвер-обработчик: unknown
- NtSetContextThread, драйвер-обработчик: unknown
- NtSetDebugFilterState, драйвер-обработчик: unknown
- NtSetEvent, драйвер-обработчик: unknown
- NtSetEventBoostPriority, драйвер-обработчик: unknown
- NtSetDefaultUILanguage, драйвер-обработчик: unknown
- NtSetEaFile, драйвер-обработчик: unknown
- NtSetInformationToken, драйвер-обработчик: unknown
- NtSetSystemTime, драйвер-обработчик: unknown
- NtSetThreadExecutionState, драйвер-обработчик: unknown
- NtSetSystemInformation, драйвер-обработчик: unknown
- NtSetSystemPowerState, драйвер-обработчик: unknown
- NtSetUuidSeed, драйвер-обработчик: unknown
- NtSetValueKey, драйвер-обработчик: unknown
- NtSetTimer, драйвер-обработчик: unknown
- NtSetTimerResolution, драйвер-обработчик: unknown
- NtSetSystemEnvironmentValueEx, драйвер-обработчик: unknown
- NtSetLdtEntries, драйвер-обработчик: unknown
- NtSetLowEventPair, драйвер-обработчик: unknown
- NtSetIntervalProfile, драйвер-обработчик: unknown
- NtSetIoCompletion, драйвер-обработчик: unknown
- NtSetSecurityObject, драйвер-обработчик: unknown
- NtSetSystemEnvironmentValue, драйвер-обработчик: unknown
- NtSetLowWaitHighEventPair, драйвер-обработчик: unknown
- NtSetQuotaInformationFile, драйвер-обработчик: unknown
- NtCreateProcess, драйвер-обработчик: unknown
- NtCreateProcessEx, драйвер-обработчик: unknown
- NtCreatePagingFile, драйвер-обработчик: unknown
- NtCreatePort, драйвер-обработчик: unknown
- NtCreateSemaphore, драйвер-обработчик: unknown
- NtCreateSymbolicLinkObject, драйвер-обработчик: unknown
- NtCreateProfile, драйвер-обработчик: unknown
- NtCreateSection, драйвер-обработчик: unknown
- NtCreateNamedPipeFile, драйвер-обработчик: unknown
- NtCreateIoCompletion, драйвер-обработчик: unknown
- NtCreateJobObject, драйвер-обработчик: unknown
- NtCreateEventPair, драйвер-обработчик: unknown
- NtCreateFile, драйвер-обработчик: unknown
- NtCreateMailslotFile, драйвер-обработчик: unknown
- NtCreateMutant, драйвер-обработчик: unknown
- NtCreateJobSet, драйвер-обработчик: unknown
- NtCreateKey, драйвер-обработчик: unknown
- NtCreateThread, драйвер-обработчик: unknown
- NtDeleteValueKey, драйвер-обработчик: unknown
- NtDeviceIoControlFile, драйвер-обработчик: unknown
- NtDeleteKey, драйвер-обработчик: unknown
- NtDeleteObjectAuditAlarm, драйвер-обработчик: unknown
- NtDuplicateToken, драйвер-обработчик: unknown
- NtEnumerateBootEntries, драйвер-обработчик: unknown
- NtDisplayString, драйвер-обработчик: unknown
- NtDuplicateObject, драйвер-обработчик: unknown
- NtDeleteFile, драйвер-обработчик: unknown
- NtCreateWaitablePort, драйвер-обработчик: unknown
- NtDebugActiveProcess, драйвер-обработчик: unknown
- NtCreateTimer, драйвер-обработчик: unknown
- NtCreateToken, драйвер-обработчик: unknown
- NtDeleteAtom, драйвер-обработчик: unknown
- NtDeleteBootEntry, драйвер-обработчик: unknown
- NtDebugContinue, драйвер-обработчик: unknown
- NtDelayExecution, драйвер-обработчик: unknown
- NtCreateEvent, драйвер-обработчик: unknown
- NtAdjustPrivilegesToken, драйвер-обработчик: unknown
- NtAlertResumeThread, драйвер-обработчик: unknown
- NtAddBootEntry, драйвер-обработчик: unknown
- NtAdjustGroupsToken, драйвер-обработчик: unknown
- NtAllocateUserPhysicalPages, драйвер-обработчик: unknown
- NtAllocateUuids, драйвер-обработчик: unknown
- NtAlertThread, драйвер-обработчик: unknown
- NtAllocateLocallyUniqueId, драйвер-обработчик: unknown
- NtAddAtom, драйвер-обработчик: unknown
- NtAccessCheckAndAuditAlarm, драйвер-обработчик: unknown
- NtAccessCheckByType, драйвер-обработчик: unknown
- NtAcceptConnectPort, драйвер-обработчик: unknown
- NtAccessCheck, драйвер-обработчик: unknown
- NtAccessCheckByTypeResultListAndAuditAlarm, драйвер-обработчик: unknown
- NtAccessCheckByTypeResultListAndAuditAlarmByHandle, драйвер-обработчик: unknown
- NtAccessCheckByTypeAndAuditAlarm, драйвер-обработчик: unknown
- NtAccessCheckByTypeResultList, драйвер-обработчик: unknown
- NtAllocateVirtualMemory, драйвер-обработчик: unknown
- NtCompleteConnectPort, драйвер-обработчик: unknown
- NtCompressKey, драйвер-обработчик: unknown
- NtCompactKeys, драйвер-обработчик: unknown
- NtCompareTokens, драйвер-обработчик: unknown
- NtCreateDebugObject, драйвер-обработчик: unknown
- NtCreateDirectoryObject, драйвер-обработчик: unknown
- NtConnectPort, драйвер-обработчик: unknown
- NtContinue, драйвер-обработчик: unknown
- NtCloseObjectAuditAlarm, драйвер-обработчик: unknown
- NtCallbackReturn, драйвер-обработчик: unknown
- NtCancelDeviceWakeupRequest, драйвер-обработчик: unknown
- NtAreMappedFilesTheSame, драйвер-обработчик: unknown
- NtAssignProcessToJobObject, драйвер-обработчик: unknown
- NtClearEvent, драйвер-обработчик: unknown
- NtClose, драйвер-обработчик: unknown
- NtCancelIoFile, драйвер-обработчик: unknown
- NtCancelTimer, драйвер-обработчик: unknown
- NtOpenJobObject, драйвер-обработчик: unknown
- NtOpenKey, драйвер-обработчик: unknown
- NtOpenFile, драйвер-обработчик: unknown
- NtOpenIoCompletion, драйвер-обработчик: unknown
- NtOpenProcess, драйвер-обработчик: unknown
- NtOpenProcessToken, драйвер-обработчик: unknown
- NtOpenMutant, драйвер-обработчик: unknown
- NtOpenObjectAuditAlarm, драйвер-обработчик: unknown
- NtOpenEventPair, драйвер-обработчик: unknown
- NtModifyBootEntry, драйвер-обработчик: unknown
- NtNotifyChangeDirectoryFile, драйвер-обработчик: unknown
- NtMapUserPhysicalPagesScatter, драйвер-обработчик: unknown
- NtMapViewOfSection, драйвер-обработчик: unknown
- NtOpenDirectoryObject, драйвер-обработчик: unknown
- NtOpenEvent, драйвер-обработчик: unknown
- NtNotifyChangeKey, драйвер-обработчик: unknown
- NtNotifyChangeMultipleKeys, драйвер-обработчик: unknown
- NtOpenProcessTokenEx, драйвер-обработчик: unknown
- NtPrivilegedServiceAuditAlarm, драйвер-обработчик: unknown
- NtProtectVirtualMemory, драйвер-обработчик: unknown
- NtPrivilegeCheck, драйвер-обработчик: unknown
- NtPrivilegeObjectAuditAlarm, драйвер-обработчик: unknown
- NtQueryBootEntryOrder, драйвер-обработчик: unknown
- NtQueryBootOptions, драйвер-обработчик: unknown
- NtPulseEvent, драйвер-обработчик: unknown
- NtQueryAttributesFile, драйвер-обработчик: unknown
- NtPowerInformation, драйвер-обработчик: unknown
- NtOpenSymbolicLinkObject, драйвер-обработчик: unknown
- NtOpenThread, драйвер-обработчик: unknown
- NtOpenSection, драйвер-обработчик: unknown
- NtOpenSemaphore, драйвер-обработчик: unknown
- NtOpenTimer, драйвер-обработчик: unknown
- NtPlugPlayControl, драйвер-обработчик: unknown
- NtOpenThreadToken, драйвер-обработчик: unknown
- NtOpenThreadTokenEx, драйвер-обработчик: unknown
- NtMapUserPhysicalPages, драйвер-обработчик: unknown
- NtFreeUserPhysicalPages, драйвер-обработчик: unknown
- NtFreeVirtualMemory, драйвер-обработчик: unknown
- NtFlushVirtualMemory, драйвер-обработчик: unknown
- NtFlushWriteBuffer, драйвер-обработчик: unknown
- NtGetDevicePowerState, драйвер-обработчик: unknown
- NtGetPlugPlayEvent, драйвер-обработчик: unknown
- NtFsControlFile, драйвер-обработчик: unknown
- NtGetContextThread, драйвер-обработчик: unknown
- NtFlushKey, драйвер-обработчик: unknown
- NtEnumerateValueKey, драйвер-обработчик: unknown
- NtExtendSection, драйвер-обработчик: unknown
- NtEnumerateKey, драйвер-обработчик: unknown
- NtEnumerateSystemEnvironmentValuesEx, драйвер-обработчик: unknown
- NtFlushBuffersFile, драйвер-обработчик: unknown
- NtFlushInstructionCache, драйвер-обработчик: unknown
- NtFilterToken, драйвер-обработчик: unknown
- NtFindAtom, драйвер-обработчик: unknown
- NtGetWriteWatch, драйвер-обработчик: unknown
- NtLockFile, драйвер-обработчик: unknown
- NtLockProductActivationKeys, драйвер-обработчик: unknown
- NtLoadKey, драйвер-обработчик: unknown
- NtLoadKey2, драйвер-обработчик: unknown
- NtMakePermanentObject, драйвер-обработчик: unknown
- NtMakeTemporaryObject, драйвер-обработчик: unknown
- NtLockRegistryKey, драйвер-обработчик: unknown
- NtLockVirtualMemory, драйвер-обработчик: unknown
- NtLoadDriver, драйвер-обработчик: unknown
- NtImpersonateThread, драйвер-обработчик: unknown
- NtInitializeRegistry, драйвер-обработчик: unknown
- NtImpersonateAnonymousToken, драйвер-обработчик: unknown
- NtImpersonateClientOfPort, драйвер-обработчик: unknown
- NtIsSystemResumeAutomatic, драйвер-обработчик: unknown
- NtListenPort, драйвер-обработчик: unknown
- NtInitiatePowerAction, драйвер-обработчик: unknown
- NtIsProcessInJob, драйвер-обработчик: unknown
Скрывает следующие процессы:
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE
- <SYSTEM32>\MSCFG32.EXE
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\mslog32.dat
- <DRIVERS>\MSNDSRV.SYS
- %TEMP%\INSTV3.BAT
- %TEMP%\INSTV4.BAT
- <SYSTEM32>\MSDIRECTX.EXE
- <SYSTEM32>\msnadt.exe
- <SYSTEM32>\MSCFG32.EXE
- <SYSTEM32>\MSCFG32.DLL
Удаляет следующие файлы:
- <SYSTEM32>\msnadt.exe
- <SYSTEM32>\MSDIRECTX.EXE
