sha1:
- b82468b4e87c4900a04e8a5d88781bfe8f97fe08
Описание
Вредосносный исполняемый файл для ОС Windows, написанный на Python и скомпилированный PyInstaller. Обфусцирован BlankOBF v2. Сохраняется по пути C:\ProgramData\Microsoft\smss.exe.
Принцип действия
-
Создает мьютекс с названием Global\\prinesuplitku
-
Устанавливается в автозагрузку путем добавления записи chromeupdate, содержащей путь до файла smss.exe в ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run
-
Проверяет доступность https://api.telegram.org/. При наличии доступа продолжает выполнение
-
Сохраняет значения TOKEN и USER_ID в HKCU\Software\SOFTWARE\WindowsHohol. Значение TOKEN зашифровано AES CBC, ключом является sha256-хэш строки kozlinets
-
Отправляет снимок экрана злоумышленнику
-
Автоматически запускает команды: /ip, /sysinfo, /telegram, /wallets, /discord, /browsers
-
Просматривает буфер обмена на наличие мнемонических фраз. При обнаружении пересылает их злоумышленнику
Команды, выполняемые трояном:
| /sc | Сделать скриншот |
| /ip | Получить информацию об IP-адресе |
| /cam | Сделать фотографию с веб-камеры |
| /rec *duration* | Записать аудио с микрофона в течение указанного времени |
| /video *duration* | Записать видео с веб-камеры в течение указанного времени |
| /lock *text* | Заблокировать экран сообщением |
| /unlock | Разблокировать экран |
| /tell *text* | Показать сообщение на экране |
| /sysinfo | Получить подробную информацию о системе |
| /ls *path* | Показать содержимое указанной директории |
| /pwd | Показать текущую рабочую директорию |
| /cd *path* | Изменить текущую рабочую директорию |
| /mkdir *path* | Создать новую директорию |
| /rm *path* | Удалить файл или директорию |
| /mv *source path* *destination path* | Переместить файл или директорию из источника в указанную директорию |
| /size *path* | Получить размер указанного файла или директории |
| /download *path* | Скачать файл или директорию |
| /open *path* | Открыть указанный файл |
| /copy *source path* *destination path* | Скопировать файл или директорию из источника в указанную директорию |
| /processlist | Показать список всех запущенных процессов |
| /processkill *process* | Завершить указанный процесс по имени |
| /processpath | Получить путь к файлу для определенного процесса |
| /link *website* | Открыть указанный веб-сайт и сделать скриншот |
| /alert *text* | Показать alert-окно с указанным текстом и звуком |
| /soft | Показать список всех установленных программ |
| /shutdown | Выключить компьютер |
| /restart | Перезагрузить компьютер |
| /browsers | Собрать доступные данные о доступных браузерах |
| /browsersforced | Собрать все данные о браузерах, но завершить их процессы |
| /telegram | Скачать файлы из папок tdata Telegram |
| /steam | Скачать файлы программы Steam |
| /telegramforced | Проверка папок tdata на всех дисках |
| /discord | Собрать токены Discord |
| /wallets | Собрать криптовалютные кошельки из расширений браузеров и десктопных приложений |
| /seedfind | Искать потенциальные мнемонические фразы по всей системе |
| /transfer *token$chat_id* | Передать управление другому боту с использованием указанного токена и идентификатора |
| /terminate | Прекратить текущее соединение |
