Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

PowerShell.DownLoader.1640

Добавлен в вирусную базу Dr.Web: 2024-11-26

Описание добавлено:

sha1:

  • 6d8716cddc3ca6c8558eb4f842d81638f00f01f8

Описание

Вредоносный PowerShell-скрипт, выполняющий установку ПО для скрытой добычи криптовалюты. Изначально является обфусцированным. Доставляется в скомпрометированную систему скомпилированным Visual Basic приложением, маскирующимся под ПО для видеосвязи.

Принцип действия

Скрипт скачивает с сайта hxxps://asobimo[.]link один из 5 наборов вредоносных файлов:

ZX-uninstaller2.rdp ZX-uninstaller.rdp ZE-uninstaller.rdp ZX.rdp ZE.rdp S32-uninstaller.rdp S64-uninstaller.rdp S32.rdp S64.rdp mc-uninstaller.rdp ec-uninstaller.rdp mc.rdp ec.rdp updater-uninstaller.rdp updatere-uninstaller.rdp updaterx-uninstaller.rdp updaterx-uninstaller2.rdp updater.rdp updaterx.rdp updater.rdp updaterx.rdp

Любой из наборов модулей выполняет следующие действия:

После скачивания и выполнения всех модулей загружается PowerShell-скрипт hxxps://asobimo[.]link/checkubr[.]txt, который сохраняет и запускает следующие файлы:

  • $env:PUBLIC\Pictures\un.exe, расположенный по адресу hxxps://asobimo[.]link/asom-uninstaller.rdp. Файл представляет собой Trojan.Hosts.51840, sha1:99111907b50911f9b2853cd73b373d231ab92f79, задачей которого является удаление задания майнера с распространенным названием GoogleUpdateTaskMachineQC,
  • $env:PUBLIC\Pictures\u.exe, расположенный по адресу hxxps://asobimo[.]link/xz-uninstaller.rdp. Файл представляет собой Trojan.Hosts.51839, sha1:385a72bede84c9c44b84b2f044ca77e440be0802, задачей которого является изменение записей реестра, отвечающих за автоматические обновления Windows,
  • $env:PUBLIC\Pictures\m.exe, расположенный по адресу hxxps://asobimo[.]link/xz.rdp. Файл представляет собой Trojan.Siggen23.24088, sha1:0f05fbb257fc71ba649175b92fcd963ff23a2540, задачей которого является установка майнера, который обращается за следующими настройками к getcert[.]net/m.txt:
    
                --algo=rx/0  --url=xmr-asia1.nanopool.org:10343 --user="44SC1Wk3tmZeVr6LvcaVcsZbnYCT5hUVWe4ptAPE445NWhcYUvkShPuJiYkxi5yofgdTWqPUCCNdcBar18Kecbgs15gRzhk" --pass="" --cpu-max-threads-hint=50 --cinit-winring="terzfardvkrs.sys" --cinit-remote-config="https://getcert.net/m.txt" --cinit-stealth-targets="Taskmgr.exe,ProcessHacker.exe,perfmon.exe,procexp.exe,procexp64.exe" --cinit-version="3.4.0" --tls --cinit-idle-wait=5 --cinit-idle-cpu=80 --cinit-id="smyzfwfwcmmyixji"
                

Матрица Mitre

Этап

Тактика

Выполнение

Интерпретаторы командной строки и сценариев (T1059)

PowerShell (T1059.001)

Нативный API (T1106)

Общие модули (T1129)

Повышение привилегий

Внедрение кода в процессы (T1055)

Загрузка сторонних библиотек (T1574.002)

Предотвращение обнаружения

Обфусцированные файлы или данные (T1027)

Маскировка (T1036)

Внедрение кода в процессы (T1055)

Изменение реестра (T1112)

Ослабление защиты (T1562)

Отключение или ослабление средств защиты (T1562.001)

Сокрытие артефактов (T1564)

Скрытые файлы и каталоги (T1564.001)

Скрытое окно (T1564.003)

 

Обнаружение

Изучение открытых приложений (T1010)

Изучение удаленных систем (T1018)

Изучение процессов (T1057)

Изучение системы (T1082)

Изучение файлов и каталогов (T1083)

Изучение установленного ПО (T1518)

 

Организация управления

Протокол прикладного уровня (T1071)

Прочие протоколы (T1095)

Зашифрованный канал (T1573)

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке