Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\windrvNT] 'Start' = '00000002'
Вредоносные функции:
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtQueryInformationProcess, драйвер-обработчик: windrvNT.sys
- NtSetInformationFile, драйвер-обработчик: windrvNT.sys
- NtQueryDirectoryFile, драйвер-обработчик: windrvNT.sys
- NtCreateFile, драйвер-обработчик: windrvNT.sys
- NtOpenFile, драйвер-обработчик: windrvNT.sys
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\windrvNT.sys
- C:\sccfg.sys
- %APPDATA%\$S5~&8.tmp
- %TEMP%\MBX@ADC@3926E8.###
- %TEMP%\MBX@ADC@3926D8.###
- <SYSTEM32>\suppdll.dll
Удаляет следующие файлы:
- %APPDATA%\$S5~&8.tmp
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
