SHA1:
- eb7c08ef01c4eba0a1cb2edb06dde6b7f5e9383d (rar)
- f4cf382939aaf7f76a5cbf81c525dab2a26a4d5e (Чит wallhackwh для CS GO {steam no steam}.exe)
- 785e2807132889d886d2794eb576c5ff2571e852 (new-node.bin)
- f4a0d14e862c6d7de28096a2662ae08fcb89679d (work.js)
Описание
Модуль троянца MonsterInstall. Является улучшенной версией Trojan.MonsterInstall.7.
Принцип действия
В новой версии добавлено шифрование строк. Скрипт дешифровки:
def decstr(d):
s = ''
for i in range(len(d)/4):
s += chr((int(d[i*4:(i+1)*4], 10)+20) & 0xff)
return s
Троянец создает мьютекс "Global\cortel-install", чтобы исключить одновременную работу одинаковых компонентов.
Затем в %WINDIR%\NodeService\0\ распаковывает содержимое data\new-node.bin с помощью исполняемого файла 7z:
data\7za.exe x data/new-node.bin -pxor -o"%WINDIR%\NodeService\0\" -y
Для new-node.bin добавлена необходимость ввода пароля.
new-node.bin запускает:
%WINDIR%/NodeService/0/node.exe %WINDIR%/NodeService/0/install.js
%WINDIR%/NodeService/0/node.exe data/work.js
Файл work.js читает data.json и открывает ссылку, указанную в поле "link".
install.js записывает в реестр версии компонентов:
[HKLM\\SOFTWARE\\Microsoft\\MoonTitle\\starter] 'version' = [0,0,0,2]
[HKLM\\SOFTWARE\\Microsoft\\MoonTitle\\worker] 'version' = [0,0,0,2]
Затем, используя планировщик Windows, троянец устанавливает себя в автозагрузку с именем MoonTitle.