Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\sp_rssrv] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\sp_rsdrv2] 'Start' = '00000001'
Вредоносные функции:
Создает и запускает на исполнение:
- <Текущая директория>\sp_rsser.exe
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtOpenFile, драйвер-обработчик: sp_rsdrv2.sys
- NtLoadDriver, драйвер-обработчик: sp_rsdrv2.sys
- NtSetValueKey, драйвер-обработчик: sp_rsdrv2.sys
- NtWriteFile, драйвер-обработчик: sp_rsdrv2.sys
- NtTerminateProcess, драйвер-обработчик: sp_rsdrv2.sys
- NtDeleteValueKey, драйвер-обработчик: sp_rsdrv2.sys
- NtCreateFile, драйвер-обработчик: sp_rsdrv2.sys
- NtClose, драйвер-обработчик: sp_rsdrv2.sys
- NtCreateKey, драйвер-обработчик: sp_rsdrv2.sys
- NtDeleteKey, драйвер-обработчик: sp_rsdrv2.sys
- NtCreateSection, драйвер-обработчик: sp_rsdrv2.sys
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\sp_rsser.exe.new
- <DRIVERS>\sp_rsdrv2.sys.new
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
