Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\aec] 'ImagePath' = '<DRIVERS>\aec.sys'
Подменяет следующие исполняемые системные файлы:
- <DRIVERS>\asyncmac.sys
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c sc config avp start= disabled
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\test.tt testall
- '<SYSTEM32>\sc.exe' config avp start= disabled
- '<SYSTEM32>\taskkill.exe' /im avp.exe /f
- '<SYSTEM32>\cmd.exe' /c taskkill.exe /im egui.exe /f
- '<SYSTEM32>\cmd.exe' /c taskkill.exe /im ekrn.exe /f
- '<SYSTEM32>\taskkill.exe' /im egui.exe /f
- '<SYSTEM32>\taskkill.exe' /im ekrn.exe /f
Завершает или пытается завершить
следующие пользовательские процессы:
- AVP.EXE
Устраняет перехваты фукнций в SSDT (System Service Descriptor Table).
Изменения в файловой системе:
Создает следующие файлы:
- <DRIVERS>\aec.sys
- <DRIVERS>\asyncmac.sys.new
- %TEMP%\xx1.tmp
- <SYSTEM32>\test.tt
- <SYSTEM32>\1l1.dll
Удаляет следующие файлы:
- <DRIVERS>\asyncmac.sys
- %TEMP%\xx1.tmp
- <DRIVERS>\aec.sys
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
