Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'kava' = '<SYSTEM32>\kavo.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\KAVsys] 'ImagePath' = '<DRIVERS>\vga.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\KAVsys] 'Start' = '00000001'
Заражает следующие исполняемые системные файлы:
- <DRIVERS>\vga.sys
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\dllcache\vga.sys файлом <SYSTEM32>\dllcache\vga.sys.new
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\mrsne.bat
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Создает и запускает на исполнение:
- %WINDIR%\2.exe
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: <SYSTEM32>\kavo0.dll
Ищет следующие окна с целью
обхода различных антивирусов:
- ClassName: 'AVP.Product_Notification' WindowName: ''
- ClassName: 'AVP.AlertDialog' WindowName: ''
Устраняет перехваты фукнций в SSDT (System Service Descriptor Table).
Принудительно разрешает автозапуск со съемных носителей.
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\dllcache\vga.sys.new
- C:\mrsne.bat
- C:\autorun.inf
- <SYSTEM32>\kavo0.dll
- %WINDIR%\2.exe
- %TEMP%\587.dll
- <SYSTEM32>\kavo.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\autorun.inf
- <Имя диска съемного носителя>:\mrsne.bat
- <Имя диска съемного носителя>:\autorun.inf
- <SYSTEM32>\kavo.exe
- <SYSTEM32>\kavo0.dll
- C:\mrsne.bat
Удаляет следующие файлы:
- %WINDIR%\2.exe
Самоперемещается:
- из <Полный путь к вирусу> в %TEMP%\tru1.tmp
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
