sha1:
- 5cc1d1aeadb606495ae51ef2ea3d0504f8ddcd4c
Описание
Вредосносный исполняемый файл для ОС Windows, написанный на Python и скомпилированный PyInstaller. Обфусцирован BlankOBF v2. Распаковывается на скомпрометированной системе дроппером Python.Muldrop.39 (fd7eee537605618826ed7dd236948964faa2252f) и сохраняется по пути C:\ProgramData\crss.exe.
Принцип действия
-
Создает мьютекс Global\\ytebyadomavonyaet.
-
Устанавливается в автозагрузку путем добавления записи козляк, содержащей путь до файла crss.exe в ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
-
Проверяет доступ в интернет путем отправки запросов к hxxps://www.google[.]com.
-
Создает поток, выполняющий следующие действия:
а) Обращается к hxxps://raw.githubusercontent[.]com/falseblueverfi/321/main/123[.]txt. К полученной строке применяет функцию XOR и расшифровывает токен GitHub репозитория;
б) Создает шева.txt, в который сохраняет GUID;
в) Генерирует рандомные IP-адреса и сканирует порты 80, 443, 21, 22, 25, 110, 143, 3306, 3389, 8080, 9812. Записывает значение тегов <title> у хостов, имеющих запущенный WEB сервер;
г) Добавляет найденные IP-адреса в репозиторий minotaurindex.
