Trojan.Siggen11.55496

Техническая информация

Для обеспечения автозапуска и распространения

Устанавливает следующие настройки сервисов

[<HKLM>\System\CurrentControlSet\Services\PROCEXP152] 'ImagePath' = '<DRIVERS>\PROCEXP152.SYS'

Создает следующие сервисы

'PROCEXP152' <DRIVERS>\PROCEXP152.SYS

Изменения в файловой системе

Создает следующие файлы

%TEMP%\kect\plugins\all
%TEMP%\kect\plugins\sysinternals_tln.pl
%TEMP%\kect\plugins\sysinternals.pl
%TEMP%\kect\plugins\syscache_tln.pl
%TEMP%\kect\plugins\syscache_csv.pl
%TEMP%\kect\plugins\syscache.pl
%TEMP%\kect\plugins\svc_tln.pl
%TEMP%\kect\plugins\svc_plus.pl
%TEMP%\kect\plugins\svchost.pl
%TEMP%\kect\plugins\svcdll.pl
%TEMP%\kect\plugins\svc.pl
%TEMP%\kect\plugins\susclient.pl
%TEMP%\kect\plugins\stillimage.pl
%TEMP%\kect\plugins\startup.pl
%TEMP%\kect\plugins\startpage.pl
%TEMP%\kect\plugins\startmenuinternetapps_lm.pl
%TEMP%\kect\plugins\startmenuinternetapps_cu.pl
%TEMP%\kect\plugins\ssid.pl
%TEMP%\kect\plugins\ssh_host_keys.pl
%TEMP%\kect\plugins\srun_tln.pl
%TEMP%\kect\plugins\sql_lastconnect.pl
%TEMP%\kect\plugins\spp_clients.pl
%TEMP%\kect\plugins\source_os.pl
%TEMP%\kect\plugins\soft_run.pl
%TEMP%\kect\plugins\snapshot_viewer.pl
%TEMP%\kect\plugins\snapshot.pl
%TEMP%\kect\plugins\slack_tln.pl
%TEMP%\kect\plugins\slack.pl
%TEMP%\kect\plugins\systemindex.pl
%TEMP%\kect\plugins\teamviewer.pl
%TEMP%\kect\plugins\termcert.pl
%TEMP%\kect\plugins\termserv.pl
%TEMP%\kect\plugins\userassist.pl
%TEMP%\kect\plugins\usbstor3.pl
%TEMP%\kect\plugins\usbstor2.pl
%TEMP%\kect\plugins\usbstor.pl
%TEMP%\kect\plugins\usbdevices.pl
%TEMP%\kect\plugins\usb.pl
%TEMP%\kect\plugins\urun_tln.pl
%TEMP%\kect\plugins\urlzone.pl
%TEMP%\kect\plugins\updates.pl
%TEMP%\kect\plugins\unreadmail.pl
%TEMP%\kect\plugins\uninstall_tln.pl
%TEMP%\kect\plugins\uninstall.pl
%TEMP%\kect\plugins\uac.pl
%TEMP%\kect\plugins\typedurlstime_tln.pl
%TEMP%\kect\plugins\typedurls_tln.pl
%TEMP%\kect\plugins\typedurlstime.pl
%TEMP%\kect\plugins\typedurls.pl
%TEMP%\kect\plugins\typedpaths_tln.pl
%TEMP%\kect\plugins\typedpaths.pl
%TEMP%\kect\plugins\tsclient_tln.pl
%TEMP%\kect\plugins\tsclient.pl
%TEMP%\kect\plugins\trustrecords_tln.pl
%TEMP%\kect\plugins\trustrecords.pl
%TEMP%\kect\plugins\trappoll.pl
%TEMP%\kect\plugins\tracing_tln.pl
%TEMP%\kect\plugins\tracing.pl
%TEMP%\kect\plugins\timezone.pl
%TEMP%\kect\plugins\thunderbirdinstalled.pl
%TEMP%\kect\plugins\userassist_tln.pl
%TEMP%\kect\plugins\skype.pl
%TEMP%\kect\plugins\sizes.pl
%TEMP%\kect\plugins\silentprocessexit_tln.pl
%TEMP%\kect\plugins\rootkit_revealer.pl
%TEMP%\kect\plugins\rlo.pl
%TEMP%\kect\plugins\revouninstaller.pl
%TEMP%\kect\plugins\reveton.pl
%TEMP%\kect\plugins\renocide.pl
%TEMP%\kect\plugins\removdev.pl
%TEMP%\kect\plugins\remoteaccess.pl
%TEMP%\kect\plugins\regtime_tln.pl
%TEMP%\kect\plugins\regtime.pl
%TEMP%\kect\plugins\regin.pl
%TEMP%\kect\plugins\regback.pl
%TEMP%\kect\plugins\recentdocs_tln.pl
%TEMP%\kect\plugins\recentdocs_timeline.pl
%TEMP%\kect\plugins\recentdocs.pl
%TEMP%\kect\plugins\recentapps_tln.pl
%TEMP%\kect\plugins\recentapps.pl
%TEMP%\kect\plugins\realvnc.pl
%TEMP%\kect\plugins\realplayer6.pl
%TEMP%\kect\plugins\reading_locations.pl
%TEMP%\kect\plugins\rdpport.pl
%TEMP%\kect\plugins\rdpnla.pl
%TEMP%\kect\plugins\rdphint.pl
%TEMP%\kect\plugins\putty_sessions.pl
%TEMP%\kect\plugins\putty.pl
%TEMP%\kect\plugins\publishingwizard.pl
%TEMP%\kect\plugins\psscript.pl
%TEMP%\kect\plugins\pslogging.pl
%TEMP%\kect\plugins\routes.pl
%TEMP%\kect\plugins\runmru.pl
%TEMP%\kect\plugins\runmru_tln.pl
%TEMP%\kect\plugins\runonceex.pl
%TEMP%\kect\plugins\shutdowncount.pl
%TEMP%\kect\plugins\shutdown.pl
%TEMP%\kect\plugins\shimcache_tln.pl
%TEMP%\kect\plugins\shimcache.pl
%TEMP%\kect\plugins\shelloverlay.pl
%TEMP%\kect\plugins\shellfolders.pl
%TEMP%\kect\plugins\shellext.pl
%TEMP%\kect\plugins\shellexec.pl
%TEMP%\kect\plugins\shellbags_xp.pl
%TEMP%\kect\plugins\shellbags_tln.pl
%TEMP%\kect\plugins\shellbags_test.pl
%TEMP%\kect\plugins\shellbags.pl
%TEMP%\kect\plugins\shellactivities.pl
%TEMP%\kect\plugins\shares.pl
%TEMP%\kect\plugins\shc.pl
%TEMP%\kect\plugins\sfc.pl
%TEMP%\kect\plugins\sevenzip.pl
%TEMP%\kect\plugins\services.pl
%TEMP%\kect\plugins\securityproviders.pl
%TEMP%\kect\plugins\secrets_tln.pl
%TEMP%\kect\plugins\secrets.pl
%TEMP%\kect\plugins\secctr.pl
%TEMP%\kect\plugins\searchscopes.pl
%TEMP%\kect\plugins\schedagent.pl
%TEMP%\kect\plugins\sbs.pl
%TEMP%\kect\plugins\samparse_ltn.pl
%TEMP%\kect\plugins\samparse.pl
%TEMP%\kect\plugins\safeboot.pl
%TEMP%\kect\plugins\silentprocessexit.pl
%TEMP%\kect\emocheck64.ect
%TEMP%\kect\yshhydwo\2020-12-15_1921_yshhydwo_windows7enterprise_md5andsha1hashes.txt
%TEMP%\kect\plugins\user_run.pl
%TEMP%\kect\libcurl.dll
%TEMP%\kect\libcryptomd.dll
%TEMP%\kect\doctotext.dll
%TEMP%\kect\sqlite3.exe
%TEMP%\kect\7za.exe
%TEMP%\kect\windows10timelinedbparser.ps1
%TEMP%\kect\softwareversions.ps1
%TEMP%\kect\smbversions.ps1
%TEMP%\kect\regripperamcache.ps1
%TEMP%\kect\regextract.ps1
%TEMP%\kect\rdpwindowseventlogs.ps1
%TEMP%\kect\persistencelocations.ps1
%TEMP%\kect\lnkparser.ps1
%TEMP%\kect\jumplistsparser.ps1
%TEMP%\kect\hasher.ps1
%TEMP%\kect\grabber.ps1
%TEMP%\kect\autoruns.ps1
%TEMP%\kect\adobeflashversion.ps1
%TEMP%\kect\kect.kfl
%TEMP%\kect\oaesl.eso
%TEMP%\kect\kectld.eso
%TEMP%\kect\kectlc.eso
%TEMP%\kect\kectlb.eso
%TEMP%\kect\kectla.eso
%TEMP%\kect\windows10timelinedbparser.ect
%TEMP%\kect\sigcheck64.ect
%TEMP%\kect\sigcheck32.ect
%TEMP%\kect\libeay32.dll
%TEMP%\kect\libgcc_s_sjlj-1.dll
%TEMP%\kect\libiconv-2.dll
%TEMP%\kect\libidn-11.dll
%TEMP%\kect\yshhydwo\2020-12-15_1921_yshhydwo_windows7enterprise_hostsfile.txt
%TEMP%\kect\yshhydwo\2020-12-15_1921_yshhydwo_windows7enterprise_handles.txt
<DRIVERS>\procexp152.sys
%TEMP%\kect\yshhydwo\yshhydwo_20201215192120_emocheck.txt
%TEMP%\kect\yshhydwo\2020-12-15_1920_yshhydwo_windows7enterprise_autorunprograms(runkeys).txt
%TEMP%\kect\yshhydwo\2020-12-15_1920_yshhydwo_windows7enterprise_terminalservices.txt
%TEMP%\kect\yshhydwo\2020-12-15_1920_yshhydwo_windows7enterprise_systemeventlog.txt
%TEMP%\kect\yshhydwo\2020-12-15_1920_yshhydwo_windows7enterprise_securityeventlog.txt
%TEMP%\kectlog.txt
%TEMP%\kect\yshhydwo\2020-12-15_1920_yshhydwo_windows7enterprise_powershelleventlog.txt
%TEMP%\kect\yshhydwo\2020-12-15_1920_yshhydwo_windows7enterprise_bitseventlog.txt
%TEMP%\kect\yshhydwo\2020-12-15_1920_yshhydwo_windows7enterprise_applicationeventlog.txt
%TEMP%\kect\yshhydwo\kect_2020-12-15_1920_yshhydwo_windows7enterprise.log
%TEMP%\kect\zlib1.dll
%TEMP%\dk.cmd
%TEMP%\kect\ssleay32.dll
%TEMP%\kect\sqlite3.dll
%TEMP%\kect\sqlite.interop.dll
%TEMP%\kect\regex2.dll
%TEMP%\kect\pthreadgc2.dll
%TEMP%\kect\pcre2-8.dll
%TEMP%\kect\p2x5124.dll
%TEMP%\kect\msvcr90.dll
%TEMP%\kect\msvcp90.dll
%TEMP%\kect\magic1.dll
%TEMP%\kect\libxml2-2.dll
%TEMP%\kect\libwv2-1.dll
%TEMP%\kect\libstdc++-6.dll
%TEMP%\kect\plugins\userlocsvc.pl
%TEMP%\kect\plugins\proxysettings.pl
%TEMP%\kect\regripper_forusers.ect
%TEMP%\kect\rawcopy.ect
%TEMP%\kect\plugins\winver.pl
%TEMP%\kect\plugins\winscp_sessions.pl
%TEMP%\kect\plugins\winscp.pl
%TEMP%\kect\plugins\winrar_tln.pl
%TEMP%\kect\plugins\winrar2.pl
%TEMP%\kect\plugins\winrar.pl
%TEMP%\kect\plugins\winnt_cv.pl
%TEMP%\kect\plugins\winlogon_u.pl
%TEMP%\kect\plugins\winlogon_tln.pl
%TEMP%\kect\plugins\winlogon.pl
%TEMP%\kect\plugins\winevt.pl
%TEMP%\kect\plugins\winbackup.pl
%TEMP%\kect\plugins\webroot.pl
%TEMP%\kect\plugins\wbem.pl
%TEMP%\kect\plugins\watp.pl
%TEMP%\kect\plugins\warcraft3.pl
%TEMP%\kect\plugins\wallpaper.pl
%TEMP%\kect\plugins\volinfocache.pl
%TEMP%\kect\plugins\vncviewer.pl
%TEMP%\kect\plugins\vnchooksapplicationprefs.pl
%TEMP%\kect\plugins\vmware_vsphere_client.pl
%TEMP%\kect\plugins\vmplayer.pl
%TEMP%\kect\plugins\vista_bitbucket.pl
%TEMP%\kect\plugins\virut.pl
%TEMP%\kect\plugins\vawtrak.pl
%TEMP%\kect\plugins\utorrent.pl
%TEMP%\kect\plugins\user_win.pl
%TEMP%\kect\plugins\winvnc.pl
%TEMP%\kect\plugins\winzip.pl
%TEMP%\kect\plugins\win_cv.pl
%TEMP%\kect\plugins\wordwheelquery.pl
%TEMP%\kect\mftextract.ect
%TEMP%\kect\logfileparser.ect
%TEMP%\kect\lnkparser.ect
%TEMP%\kect\listdlls64.ect
%TEMP%\kect\listdlls32.ect
%TEMP%\kect\kectfile.ect
%TEMP%\kect\kectapp.ect
%TEMP%\kect\jumplistsparser.ect
%TEMP%\kect\hash.ect
%TEMP%\kect\handle64.ect
%TEMP%\kect\handle32.ect
%TEMP%\kect\extractusnjrnl64.ect
%TEMP%\kect\extractusnjrnl32.ect
%TEMP%\kect\plugins\userinfo.pl
%TEMP%\kect\eventlogparser.ect
%TEMP%\kect\emocheck32.ect
%TEMP%\kect\browsing64.ect
%TEMP%\kect\browsing32.ect
%TEMP%\kect\autoruns64.ect
%TEMP%\kect\autoruns32.ect
%TEMP%\kect\amcacheparser.ect
%TEMP%\kect\browsing32.cfg
%TEMP%\kect\plugins\yahoo_lm.pl
%TEMP%\kect\plugins\yahoo_cu.pl
%TEMP%\kect\plugins\xpedition.pl
%TEMP%\kect\plugins\wsh_settings.pl
%TEMP%\kect\plugins\wpdbusenum.pl
%TEMP%\kect\plugins\wow64.pl
%TEMP%\kect\prefetch.ect
%TEMP%\kect\rip.ect
%TEMP%\kect\plugins\profiler.pl
%TEMP%\kect\plugins\mmc.pl
%TEMP%\kect\plugins\comdlg32.pl
%TEMP%\kect\plugins\codeid.pl
%TEMP%\kect\plugins\cmd_shell_u.pl
%TEMP%\kect\plugins\cmd_shell_tln.pl
%TEMP%\kect\plugins\cmd_shell.pl
%TEMP%\kect\plugins\cmdproc_tln.pl
%TEMP%\kect\plugins\cmdproc.pl
%TEMP%\kect\plugins\clsid_tln.pl
%TEMP%\kect\plugins\clsid.pl
%TEMP%\kect\plugins\clampitm.pl
%TEMP%\kect\plugins\clampi.pl
%TEMP%\kect\plugins\cdstaginginfo.pl
%TEMP%\kect\plugins\ccleaner.pl
%TEMP%\kect\plugins\cain.pl
%TEMP%\kect\plugins\cached_tln.pl
%TEMP%\kect\plugins\cached.pl
%TEMP%\kect\plugins\bthport_tln.pl
%TEMP%\kect\plugins\bthport.pl
%TEMP%\kect\plugins\btconfig.pl
%TEMP%\kect\plugins\brisv.pl
%TEMP%\kect\plugins\bitbucket_user.pl
%TEMP%\kect\plugins\bitbucket.pl
%TEMP%\kect\plugins\bho.pl
%TEMP%\kect\plugins\baseline.pl
%TEMP%\kect\plugins\banner.pl
%TEMP%\kect\plugins\bam_tln.pl
%TEMP%\kect\plugins\bam.pl
%TEMP%\kect\plugins\comfoo.pl
%TEMP%\kect\plugins\compdesc.pl
%TEMP%\kect\plugins\compname.pl
%TEMP%\kect\plugins\controlpanel.pl
%TEMP%\kect\plugins\environment.pl
%TEMP%\kect\plugins\emdmgmt.pl
%TEMP%\kect\plugins\drwatson.pl
%TEMP%\kect\plugins\drivers32.pl
%TEMP%\kect\plugins\domains.pl
%TEMP%\kect\plugins\dnschanger.pl
%TEMP%\kect\plugins\dllsearch.pl
%TEMP%\kect\plugins\disablesr.pl
%TEMP%\kect\plugins\disablemru.pl
%TEMP%\kect\plugins\disablelastaccess.pl
%TEMP%\kect\plugins\direct_tln.pl
%TEMP%\kect\plugins\direct.pl
%TEMP%\kect\plugins\diag_sr.pl
%TEMP%\kect\plugins\devclass.pl
%TEMP%\kect\plugins\dfrg.pl
%TEMP%\kect\plugins\dependency_walker.pl
%TEMP%\kect\plugins\del_tln.pl
%TEMP%\kect\plugins\del.pl
%TEMP%\kect\plugins\defbrowser.pl
%TEMP%\kect\plugins\decaf.pl
%TEMP%\kect\plugins\ddo.pl
%TEMP%\kect\plugins\ddm.pl
%TEMP%\kect\plugins\dcom.pl
%TEMP%\kect\plugins\dafupnp.pl
%TEMP%\kect\plugins\ctrlpnl.pl
%TEMP%\kect\plugins\crashcontrol.pl
%TEMP%\kect\plugins\cpldontload.pl
%TEMP%\kect\plugins\cortana.pl
%TEMP%\kect\plugins\eraser.pl
%TEMP%\kect\plugins\backuprestore.pl
%TEMP%\kect\plugins\autorun.pl
%TEMP%\kect\plugins\autoendtasks.pl
%TEMP%\kect\dk.cmd
%TEMP%\kect\usnjrnl.bat
%TEMP%\kect\sigcheck.bat
%TEMP%\kect\regextract.bat
%TEMP%\kect\outlookattachments.bat
%TEMP%\kect\mftextract.bat
%TEMP%\kect\logfileparser.bat
%TEMP%\kect\listdlls.bat
%TEMP%\kect\handle.bat
%TEMP%\kect\emocheck.bat
%TEMP%\kect\browser.bat
%TEMP%\kect\oaesl.eso.embed.manifest
%TEMP%\kect\microsoft.vc90.crt.manifest
%TEMP%\kect\kectld.eso.embed.manifest
%TEMP%\kect\kectlc.eso.embed.manifest
%TEMP%\kect\kectlb.eso.embed.manifest
%TEMP%\kect\kectla.eso.embed.manifest
%TEMP%\kect\kectapp.ect.embed.manifest
%TEMP%\kect\plugins\usrclass
%TEMP%\kect\plugins\system
%TEMP%\kect\plugins\syscache
%TEMP%\kect\plugins\software
%TEMP%\kect\plugins\security
%TEMP%\kect\plugins\sam
%TEMP%\kect\plugins\ntuser
%TEMP%\kect\magic
%TEMP%\kect\plugins\amcache
%TEMP%\kect\job.cmd
%TEMP%\kect\plugins\acmru.pl
%TEMP%\kect\plugins\adoberdr.pl
%TEMP%\kect\plugins\ahaha.pl
%TEMP%\kect\plugins\auditpol.pl
%TEMP%\kect\plugins\auditfail.pl
%TEMP%\kect\plugins\audiodev.pl
%TEMP%\kect\plugins\at_tln.pl
%TEMP%\kect\plugins\attachmgr_tln.pl
%TEMP%\kect\plugins\attachmgr.pl
%TEMP%\kect\plugins\at.pl
%TEMP%\kect\plugins\assoc.pl
%TEMP%\kect\plugins\arpcache.pl
%TEMP%\kect\plugins\ares.pl
%TEMP%\kect\plugins\appspecific.pl
%TEMP%\kect\plugins\apppaths_tln.pl
%TEMP%\kect\plugins\apppaths.pl
%TEMP%\kect\plugins\applets.pl
%TEMP%\kect\plugins\applets_tln.pl
%TEMP%\kect\plugins\appkeys_tln.pl
%TEMP%\kect\plugins\appkeys.pl
%TEMP%\kect\plugins\appinitdlls.pl
%TEMP%\kect\plugins\appcompatflags.pl
%TEMP%\kect\plugins\appcompatcache_tln.pl
%TEMP%\kect\plugins\appcompatcache.pl
%TEMP%\kect\plugins\appcertdlls.pl
%TEMP%\kect\plugins\appassoc.pl
%TEMP%\kect\plugins\aports.pl
%TEMP%\kect\plugins\angelfire.pl
%TEMP%\kect\plugins\amcache_tln.pl
%TEMP%\kect\plugins\amcache.pl
%TEMP%\kect\plugins\aim.pl
%TEMP%\kect\plugins\auditpol_xp.pl
%TEMP%\kect\plugins\lazyshell.pl
%TEMP%\kect\plugins\producttype.pl
%TEMP%\kect\plugins\eventlog.pl
%TEMP%\kect\plugins\networkuid.pl
%TEMP%\kect\plugins\networklist_tln.pl
%TEMP%\kect\plugins\networklist.pl
%TEMP%\kect\plugins\networkcards.pl
%TEMP%\kect\plugins\network.pl
%TEMP%\kect\plugins\netsvcs.pl
%TEMP%\kect\plugins\netsh.pl
%TEMP%\kect\plugins\netlogon.pl
%TEMP%\kect\plugins\netassist.pl
%TEMP%\kect\plugins\nero.pl
%TEMP%\kect\plugins\nation.pl
%TEMP%\kect\plugins\mzthunderbird.pl
%TEMP%\kect\plugins\muicache_tln.pl
%TEMP%\kect\plugins\muicache.pl
%TEMP%\kect\plugins\mspaper.pl
%TEMP%\kect\plugins\msis.pl
%TEMP%\kect\plugins\msedge_win10.pl
%TEMP%\kect\plugins\mrt.pl
%TEMP%\kect\plugins\mpmru.pl
%TEMP%\kect\plugins\mp3.pl
%TEMP%\kect\plugins\mp2.pl
%TEMP%\kect\plugins\mountdev2.pl
%TEMP%\kect\plugins\mountdev.pl
%TEMP%\kect\plugins\mndmru_tln.pl
%TEMP%\kect\plugins\mndmru.pl
%TEMP%\kect\plugins\mmo.pl
%TEMP%\kect\plugins\mmc_tln.pl
%TEMP%\kect\plugins\nic.pl
%TEMP%\kect\plugins\nic2.pl
%TEMP%\kect\plugins\nic_mst2.pl
%TEMP%\kect\plugins\nolmhash.pl
%TEMP%\kect\plugins\productpolicy.pl
%TEMP%\kect\plugins\product.pl
%TEMP%\kect\plugins\processor_architecture.pl
%TEMP%\kect\plugins\privoxy.pl
%TEMP%\kect\plugins\printers.pl
%TEMP%\kect\plugins\printermru.pl
%TEMP%\kect\plugins\prefetch.pl
%TEMP%\kect\plugins\port_dev.pl
%TEMP%\kect\plugins\policies_u.pl
%TEMP%\kect\plugins\polacdms.pl
%TEMP%\kect\plugins\photos_win10.pl
%TEMP%\kect\plugins\photos.pl
%TEMP%\kect\plugins\phdet.pl
%TEMP%\kect\plugins\pagefile.pl
%TEMP%\kect\plugins\pending.pl
%TEMP%\kect\plugins\outlook2.pl
%TEMP%\kect\plugins\outlook.pl
%TEMP%\kect\plugins\osversion_tln.pl
%TEMP%\kect\plugins\osversion.pl
%TEMP%\kect\plugins\opencandy.pl
%TEMP%\kect\plugins\olsearch.pl
%TEMP%\kect\plugins\oisc.pl
%TEMP%\kect\plugins\officedocs2010_tln.pl
%TEMP%\kect\plugins\officedocs2010.pl
%TEMP%\kect\plugins\officedocs.pl
%TEMP%\kect\plugins\odysseus.pl
%TEMP%\kect\plugins\null.pl
%TEMP%\kect\plugins\ntusernetwork.pl
%TEMP%\kect\plugins\etos.pl
%TEMP%\kect\plugins\profilelist.pl
%TEMP%\kect\plugins\mixer_tln.pl
%TEMP%\kect\plugins\mixer.pl
%TEMP%\kect\plugins\init_dlls.pl
%TEMP%\kect\plugins\imgburn1.pl
%TEMP%\kect\plugins\imagefile.pl
%TEMP%\kect\plugins\imagedev.pl
%TEMP%\kect\plugins\ie_zones.pl
%TEMP%\kect\plugins\ie_version.pl
%TEMP%\kect\plugins\ie_settings.pl
%TEMP%\kect\plugins\ie_main.pl
%TEMP%\kect\plugins\iejava.pl
%TEMP%\kect\plugins\identities.pl
%TEMP%\kect\plugins\ide.pl
%TEMP%\kect\plugins\hibernate.pl
%TEMP%\kect\plugins\haven_and_hearth.pl
%TEMP%\kect\plugins\handler.pl
%TEMP%\kect\plugins\gtwhitelist.pl
%TEMP%\kect\plugins\gthist.pl
%TEMP%\kect\plugins\gpohist_tln.pl
%TEMP%\kect\plugins\gpohist.pl
%TEMP%\kect\plugins\gauss.pl
%TEMP%\kect\plugins\fw_config.pl
%TEMP%\kect\plugins\foxitrdr.pl
%TEMP%\kect\plugins\findexes.pl
%TEMP%\kect\plugins\fileless.pl
%TEMP%\kect\plugins\filehistory.pl
%TEMP%\kect\plugins\fileexts.pl
%TEMP%\kect\plugins\execpolicy.pl
%TEMP%\kect\plugins\eventlogs.pl
%TEMP%\kect\plugins\inprocserver.pl
%TEMP%\kect\plugins\installedcomp.pl
%TEMP%\kect\plugins\installer.pl
%TEMP%\kect\plugins\internet_explorer_cu.pl
%TEMP%\kect\plugins\malware.pl
%TEMP%\kect\plugins\macaddr.pl
%TEMP%\kect\plugins\lsa_packages.pl
%TEMP%\kect\plugins\lsasecrets.pl
%TEMP%\kect\plugins\logonusername.pl
%TEMP%\kect\plugins\logonstats.pl
%TEMP%\kect\plugins\logmein_tln.pl
%TEMP%\kect\plugins\logmein.pl
%TEMP%\kect\plugins\load.pl
%TEMP%\kect\plugins\livecontactsguid.pl
%TEMP%\kect\plugins\listsoft.pl
%TEMP%\kect\plugins\licenses.pl
%TEMP%\kect\plugins\legacy_tln.pl
%TEMP%\kect\plugins\esent.pl
%TEMP%\kect\plugins\legacy.pl
%TEMP%\kect\plugins\latentbot.pl
%TEMP%\kect\plugins\lastloggedon.pl
%TEMP%\kect\plugins\landesk_tln.pl
%TEMP%\kect\plugins\landesk.pl
%TEMP%\kect\plugins\knowndev.pl
%TEMP%\kect\plugins\kbdcrash.pl
%TEMP%\kect\plugins\kb950582.pl
%TEMP%\kect\plugins\kankan.pl
%TEMP%\kect\plugins\jumplistdata.pl
%TEMP%\kect\plugins\javasoft.pl
%TEMP%\kect\plugins\javafx.pl
%TEMP%\kect\plugins\itempos.pl
%TEMP%\kect\plugins\internet_settings_cu.pl
%TEMP%\kect\plugins\menuorder.pl
%TEMP%\kect\hash.txt

Удаляет следующие файлы

<DRIVERS>\procexp152.sys

Сетевая активность

TCP

Запросы HTTP GET

http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt

UDP

DNS ASK microsoft.com

Другое

Создает и запускает на исполнение

'%TEMP%\kect\hash.ect' <SYSTEM32> -f *.exe *.dll *.tmp *.php *.scr *.bat *.zip *.rar -S -B -L 50000000 -Z -8800 -V -d , -v
'%TEMP%\kect\eventlogparser.ect' -i:EVT -o:CSV -tabs:OFF "SELECT EventID, TimeGenerated, EventTypeName, ComputerName, Message FROM security"
'%TEMP%\kect\kectapp.ect' a
'%TEMP%\kect\eventlogparser.ect' -i:EVT -o:CSV -tabs:OFF "SELECT EventID, TimeGenerated, EventTypeName, ComputerName, Message FROM application"
'%TEMP%\kect\hash.ect' C:\Users -f *.exe *.dll *.tmp *.php *.scr *.bat *.zip *.rar -S -B -L 50000000 -Z -8800 -V -d , -v
'%TEMP%\kect\hash.ect' C:\$Recycle.Bin -f *.exe *.dll *.tmp *.php *.scr *.bat *.zip *.rar -S -B -L 50000000 -Z -8800 -V -d "," -v
'%TEMP%\kect\eventlogparser.ect' -i:EVT -o:CSV -tabs:OFF "SELECT EventID, TimeGenerated, EventTypeName, ComputerName, Message FROM system"
'%TEMP%\kect\handle64.ect' -a -u -nobanner -accepteula
'%TEMP%\kect\autoruns32.ect' /accepteula /a * -c -nobanner
'%TEMP%\kect\emocheck64.ect' /quiet /output "%TEMP%\kect\yshhydwo"
'%TEMP%\kect\hash.ect' %ALLUSERSPROFILE% -f *.exe *.dll *.tmp *.php *.scr *.bat *.zip *.rar -S -B -L 50000000 -Z -8800 -V -d , -v
'%WINDIR%\syswow64\cmd.exe' /c Handle.bat >> ./yshhydwo/2020-12-15_1921_yshhydwo_Windows7Enterprise_Handles.txt' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c powershell -ExecutionPolicy Bypass -File ".\Hasher.ps1" >> ./yshhydwo/2020-12-15_1921_yshhydwo_Windows7Enterprise_MD5andSHA1Hashes.txt' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c Emocheck.bat >> ./yshhydwo/2020-12-15_1921_yshhydwo_Windows7Enterprise_EmotetChecker.txt' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c type %systemdrive%\windows\hosts | findstr /R /V # >> ./yshhydwo/2020-12-15_1921_yshhydwo_Windows7Enterprise_HOSTSFile.txt' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c type %systemdrive%\windows\system32\drivers\etc\hosts | findstr /R /V # >> ./yshhydwo/2020-12-15_1921_yshhydwo_Windows7Enterprise_HOSTSFile.txt' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c powershell -ExecutionPolicy Bypass -File ".\AutoRuns.ps1" >> ./yshhydwo/2020-12-15_1920_yshhydwo_Windows7Enterprise_AutoRunPrograms(Runkeys).txt' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c EventLogParser.ect -i:EVT -o:CSV -tabs:OFF "SELECT EventID, TimeGenerated, EventTypeName, ComputerName, Message FROM application" >> ./yshhydwo/2020-12-15_1920_yshhydwo_Windows7Enterprise_Ap...' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c EventLogParser.ect -i:EVT -o:CSV -tabs:OFF "SELECT EventID, TimeGenerated, EventTypeName, ComputerName, Message FROM system" >> ./yshhydwo/2020-12-15_1920_yshhydwo_Windows7Enterprise_SystemE...' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c powershell -ExecutionPolicy Bypass -File ".\RDPWindowsEventLogs.ps1" >> ./yshhydwo/2020-12-15_1920_yshhydwo_Windows7Enterprise_RDPLogs(powershell).txt' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c powershell -command "& {& Get-EventLog -LogName 'Windows PowerShell' | Format-List}" >> ./yshhydwo/2020-12-15_1920_yshhydwo_Windows7Enterprise_PowershellEventlog.txt' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c powershell -command "& {& Get-winevent -logname 'Microsoft-Windows-Bits-Client/Operational' | Format-List}" >> ./yshhydwo/2020-12-15_1920_yshhydwo_Windows7Enterprise_BITSEventlog.txt' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c powershell -command "& {& Get-Winevent -logname 'Microsoft-Windows-TerminalServices-LocalSessionManager/Operational' | Select-Object Id,TimeCreated,MachineName,Message | Format-Table -AutoSi...' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c EventLogParser.ect -i:EVT -o:CSV -tabs:OFF "SELECT EventID, TimeGenerated, EventTypeName, ComputerName, Message FROM security" >> ./yshhydwo/2020-12-15_1920_yshhydwo_Windows7Enterprise_Secur...' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c type %systemdrive%\winnt\hosts | findstr /R /V # >> ./yshhydwo/2020-12-15_1921_yshhydwo_Windows7Enterprise_HOSTSFile.txt' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\kect\job.cmd" "' (со скрытым окном)

Запускает на исполнение

'%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\kect\job.cmd" "
'%WINDIR%\syswow64\reg.exe' Query "HKLM\Hardware\Description\System\CentralProcessor\0"
'%WINDIR%\syswow64\find.exe' /i "x86"
'%WINDIR%\syswow64\cmd.exe' /c Handle.bat >> ./yshhydwo/2020-12-15_1921_yshhydwo_Windows7Enterprise_Handles.txt
'%WINDIR%\syswow64\cmd.exe' /c type %systemdrive%\windows\system32\drivers\etc\hosts | findstr /R /V # >> ./yshhydwo/2020-12-15_1921_yshhydwo_Windows7Enterprise_HOSTSFile.txt
'%WINDIR%\syswow64\cmd.exe' /S /D /c" type <DRIVERS>\etc\hosts "
'%WINDIR%\syswow64\findstr.exe' /R /V #
'%WINDIR%\syswow64\cmd.exe' /S /D /c" type %WINDIR%\hosts "
'%WINDIR%\syswow64\cmd.exe' /c powershell -ExecutionPolicy Bypass -File ".\RDPWindowsEventLogs.ps1" >> ./yshhydwo/2020-12-15_1920_yshhydwo_Windows7Enterprise_RDPLogs(powershell).txt
'%WINDIR%\syswow64\cmd.exe' /c type %systemdrive%\winnt\hosts | findstr /R /V # >> ./yshhydwo/2020-12-15_1921_yshhydwo_Windows7Enterprise_HOSTSFile.txt
'%WINDIR%\syswow64\cmd.exe' /S /D /c" type C:\winnt\hosts "
'%WINDIR%\syswow64\cmd.exe' /c powershell -ExecutionPolicy Bypass -File ".\Hasher.ps1" >> ./yshhydwo/2020-12-15_1921_yshhydwo_Windows7Enterprise_MD5andSHA1Hashes.txt
'%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -File ".\Hasher.ps1"
'%WINDIR%\syswow64\cmd.exe' /c Hash.ect %systemdrive%\Users -f *.exe *.dll *.tmp *.php *.scr *.bat *.zip *.rar -S -B -L 50000000 -Z -8800 -V -d , -v
'%WINDIR%\syswow64\cmd.exe' /c "Hash.ect %systemdrive%\$Recycle.Bin -f *.exe *.dll *.tmp *.php *.scr *.bat *.zip *.rar -S -B -L 50000000 -Z -8800 -V -d "," -v"
'%WINDIR%\syswow64\cmd.exe' /c Emocheck.bat >> ./yshhydwo/2020-12-15_1921_yshhydwo_Windows7Enterprise_EmotetChecker.txt
'%WINDIR%\syswow64\cmd.exe' /c "AutoRuns32.ect /accepteula /a * -c -nobanner"
'%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -File ".\AutoRuns.ps1"
'%WINDIR%\syswow64\cmd.exe' /c powershell -ExecutionPolicy Bypass -File ".\AutoRuns.ps1" >> ./yshhydwo/2020-12-15_1920_yshhydwo_Windows7Enterprise_AutoRunPrograms(Runkeys).txt
'%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command "& {& Get-Winevent -logname 'Microsoft-Windows-TerminalServices-LocalSessionManager/Operational' | Select-Object Id,TimeCreated,MachineName,Message | Format-Table -AutoSize -Wrap}"
'%WINDIR%\syswow64\cmd.exe' /c powershell -command "& {& Get-Winevent -logname 'Microsoft-Windows-TerminalServices-LocalSessionManager/Operational' | Select-Object Id,TimeCreated,MachineName,Message | Format-Table -AutoSi...
'%WINDIR%\syswow64\cmd.exe' /c EventLogParser.ect -i:EVT -o:CSV -tabs:OFF "SELECT EventID, TimeGenerated, EventTypeName, ComputerName, Message FROM system" >> ./yshhydwo/2020-12-15_1920_yshhydwo_Windows7Enterprise_SystemE...
'%WINDIR%\syswow64\cmd.exe' /c EventLogParser.ect -i:EVT -o:CSV -tabs:OFF "SELECT EventID, TimeGenerated, EventTypeName, ComputerName, Message FROM security" >> ./yshhydwo/2020-12-15_1920_yshhydwo_Windows7Enterprise_Secur...
'%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -File ".\RDPWindowsEventLogs.ps1"
'%WINDIR%\syswow64\cmd.exe' /c type %systemdrive%\windows\hosts | findstr /R /V # >> ./yshhydwo/2020-12-15_1921_yshhydwo_Windows7Enterprise_HOSTSFile.txt
'%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command "& {& Get-EventLog -LogName 'Windows PowerShell' | Format-List}"
'%WINDIR%\syswow64\cmd.exe' /c powershell -command "& {& Get-EventLog -LogName 'Windows PowerShell' | Format-List}" >> ./yshhydwo/2020-12-15_1920_yshhydwo_Windows7Enterprise_PowershellEventlog.txt
'%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -command "& {& Get-winevent -logname 'Microsoft-Windows-Bits-Client/Operational' | Format-List}"
'%WINDIR%\syswow64\cmd.exe' /c powershell -command "& {& Get-winevent -logname 'Microsoft-Windows-Bits-Client/Operational' | Format-List}" >> ./yshhydwo/2020-12-15_1920_yshhydwo_Windows7Enterprise_BITSEventlog.txt
'%WINDIR%\syswow64\cmd.exe' /c EventLogParser.ect -i:EVT -o:CSV -tabs:OFF "SELECT EventID, TimeGenerated, EventTypeName, ComputerName, Message FROM application" >> ./yshhydwo/2020-12-15_1920_yshhydwo_Windows7Enterprise_Ap...
'%WINDIR%\syswow64\cmd.exe' /c kectapp.ect a
'%WINDIR%\syswow64\setx.exe' PATH="%ALLUSERSPROFILE%\Oracle\Java\javapath;<SYSTEM32>;%WINDIR%;<SYSTEM32>\Wbem;<SYSTEM32>\WindowsPowerShell\v1.0\;<SYSTEM32>;%WINDIR%" /m
'%WINDIR%\syswow64\cmd.exe' /c Hash.ect %systemdrive%\ProgramData -f *.exe *.dll *.tmp *.php *.scr *.bat *.zip *.rar -S -B -L 50000000 -Z -8800 -V -d , -v
'%WINDIR%\syswow64\cmd.exe' /c Hash.ect <SYSTEM32> -f *.exe *.dll *.tmp *.php *.scr *.bat *.zip *.rar -S -B -L 50000000 -Z -8800 -V -d , -v

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней