Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\ksusbaim32.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\ksusbaim32.exe
Удаляет файлы, которые сам же создал
- %WINDIR%\ksusbaim32.exe
Сетевая активность
Подключается к
- '43.##9.135.199':80
- 'localhost':49701
- 'ke##uth.win':443
- '80.##0.113.62':80
- 'x1.#.lencr.org':80
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
- 'e8.#.lencr.org':80
TCP
Запросы HTTP GET
- http://43.##9.135.199/Nuxist/KSUSBAIM32.exe
- http://e8.#.lencr.org/21.crl
Другие
- 'localhost':49701
- 'localhost':49702
- 'ke##uth.win':443
UDP
- DNS ASK ke##uth.win
- DNS ASK x1.#.lencr.org
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
- DNS ASK e8.#.lencr.org
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'IDA'
- ClassName: '' WindowName: 'Cheat Engine'
- ClassName: '' WindowName: 'Ghidra'
- ClassName: '' WindowName: 'x64dbg'
- ClassName: '' WindowName: 'OllyDbg'
- ClassName: '' WindowName: 'Process Hacker'
- ClassName: '' WindowName: 'Wireshark'
- ClassName: '' WindowName: 'TCPView'
- ClassName: '' WindowName: 'Frida'
- ClassName: '' WindowName: 'Scylla'
- ClassName: '' WindowName: 'TitanHide'
- ClassName: '' WindowName: 'dnSpy'
- ClassName: '' WindowName: 'ILSpy'
- ClassName: '' WindowName: 'dotPeek'
Создает и запускает на исполнение
- '%WINDIR%\ksusbaim32.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c certutil -hashfile "%WINDIR%\KSUSBAIM32.exe" MD5 | find /i /v "md5" | find /i /v "certutil"
- '<SYSTEM32>\certutil.exe' -hashfile "%WINDIR%\KSUSBAIM32.exe" MD5
- '<SYSTEM32>\find.exe' /i /v "md5"
- '<SYSTEM32>\find.exe' /i /v "certutil"
