Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /F /IM msedge.exe
Внедряет код в
следующие пользовательские процессы:
- serviceupdate_2608.exe
- qualityagent64.exe
Патчит код
в динамической библиотеке
- Процесс serviceupdate_2608.exe, модуль KERNELBASE.dll
- Процесс serviceupdate_2608.exe, модуль KERNEL32.dll
- Процесс serviceupdate_2608.exe, модуль USER32.dll
- Процесс serviceupdate_2608.exe, модуль win32u.dll
- Процесс qualityagent64.exe, модуль KERNELBASE.dll
- Процесс qualityagent64.exe, модуль KERNEL32.dll
- Процесс qualityagent64.exe, модуль USER32.dll
- Процесс qualityagent64.exe, модуль win32u.dll
в динамической библиотеке NTDLL
- Процесс serviceupdate_2608.exe, модуль ntdll.dll
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %APPDATA%\mozilla\firefox\profiles.ini
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
- %HOMEPATH%\desktop\nwfieldnotes1966.docx
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei7842\81d243bd2c585b0f4821__mypyc.cp311-win_amd64.pyd
- %TEMP%\_mei7842\crypto\cipher\_arc4.pyd
- %TEMP%\_mei7842\crypto\cipher\_salsa20.pyd
- %TEMP%\_mei7842\crypto\cipher\_chacha20.pyd
- %TEMP%\_mei7842\crypto\cipher\_pkcs1_decode.pyd
- %TEMP%\_mei7842\crypto\cipher\_raw_aes.pyd
- %TEMP%\_mei7842\crypto\cipher\_raw_aesni.pyd
- %TEMP%\_mei7842\crypto\cipher\_raw_arc2.pyd
- %TEMP%\_mei7842\crypto\cipher\_raw_blowfish.pyd
- %TEMP%\_mei7842\crypto\cipher\_raw_cast.pyd
- %TEMP%\_mei7842\crypto\cipher\_raw_cbc.pyd
- %TEMP%\_mei7842\crypto\cipher\_raw_cfb.pyd
- %TEMP%\_mei7842\crypto\cipher\_raw_ctr.pyd
- %TEMP%\_mei7842\crypto\cipher\_raw_des.pyd
- %TEMP%\_mei7842\crypto\cipher\_raw_des3.pyd
- %TEMP%\_mei7842\crypto\cipher\_raw_ecb.pyd
- %TEMP%\_mei7842\crypto\cipher\_raw_eksblowfish.pyd
- %TEMP%\_mei7842\crypto\cipher\_raw_ocb.pyd
- %TEMP%\_mei7842\crypto\cipher\_raw_ofb.pyd
- %TEMP%\_mei7842\crypto\hash\_blake2b.pyd
- %TEMP%\_mei7842\crypto\hash\_blake2s.pyd
- %TEMP%\_mei7842\crypto\hash\_md2.pyd
- %TEMP%\_mei7842\crypto\hash\_md4.pyd
- %TEMP%\_mei7842\crypto\hash\_md5.pyd
- %TEMP%\_mei7842\crypto\hash\_ripemd160.pyd
- %TEMP%\_mei7842\crypto\hash\_sha1.pyd
- %TEMP%\_mei7842\crypto\hash\_sha224.pyd
- %TEMP%\_mei7842\crypto\hash\_sha256.pyd
- %TEMP%\_mei7842\crypto\hash\_sha384.pyd
- %TEMP%\_mei7842\crypto\hash\_sha512.pyd
- %TEMP%\_mei7842\crypto\hash\_ghash_clmul.pyd
- %TEMP%\_mei7842\crypto\hash\_ghash_portable.pyd
- %TEMP%\_mei7842\crypto\hash\_keccak.pyd
- %TEMP%\_mei7842\crypto\hash\_poly1305.pyd
- %TEMP%\_mei7842\crypto\math\_modexp.pyd
- %TEMP%\_mei7842\crypto\protocol\_scrypt.pyd
- %TEMP%\_mei7842\crypto\publickey\_curve25519.pyd
- %TEMP%\_mei7842\crypto\publickey\_curve448.pyd
- %TEMP%\_mei7842\crypto\publickey\_ec_ws.pyd
- %TEMP%\_mei7842\crypto\publickey\_ed25519.pyd
- %TEMP%\_mei7842\crypto\publickey\_ed448.pyd
- %TEMP%\_mei7842\crypto\util\_cpuid_c.pyd
- %TEMP%\_mei7842\crypto\util\_strxor.pyd
- %TEMP%\_mei7842\vcruntime140.dll
- %TEMP%\_mei7842\vcruntime140_1.dll
- %TEMP%\_mei7842\_asyncio.pyd
- %TEMP%\_mei7842\_bz2.pyd
- %TEMP%\_mei7842\_ctypes.pyd
- %TEMP%\_mei7842\_decimal.pyd
- %TEMP%\_mei7842\_hashlib.pyd
- %TEMP%\_mei7842\_lzma.pyd
- %TEMP%\_mei7842\_multiprocessing.pyd
- %TEMP%\_mei7842\_overlapped.pyd
- %TEMP%\_mei7842\_queue.pyd
- %TEMP%\_mei7842\_socket.pyd
- %TEMP%\_mei7842\_sqlite3.pyd
- %TEMP%\_mei7842\_ssl.pyd
- %TEMP%\_mei7842\base_library.zip
- %TEMP%\_mei7842\certifi\cacert.pem
- %TEMP%\_mei7842\charset_normalizer\cd.cp311-win_amd64.pyd
- %TEMP%\_mei7842\charset_normalizer\md.cp311-win_amd64.pyd
- %TEMP%\_mei7842\libcrypto-1_1.dll
- %TEMP%\_mei7842\libffi-8.dll
- %TEMP%\_mei7842\libssl-1_1.dll
- %TEMP%\_mei7842\pyexpat.pyd
- %TEMP%\_mei7842\python311.dll
- %TEMP%\_mei7842\pywin32_system32\pywintypes311.dll
- %TEMP%\_mei7842\select.pyd
- %TEMP%\_mei7842\sqlite3.dll
- %TEMP%\_mei7842\unicodedata.pyd
- %TEMP%\_mei7842\win32\win32crypt.pyd
- %TEMP%\i24sp8cf
- %TEMP%\serviceupdate_2608.exe
- %TEMP%\winrar\registry.rw.tvr.lck.qaxqtygkjuf.ffffffff.e8c
- %TEMP%\winrar\registry.rw.tvr
- %TEMP%\winrar\registry.rw.tvr.transact
- %TEMP%\winrar\registry.tlog.cache
- %TEMP%\winrar\dummytls\-3724.5252.tmp
- %TEMP%\winrar\skel\0219f3950ec4e01db24c9ba7d000a7479ca913c7\qualityagent64.exe.162c.1630
- %TEMP%\winrar\skel\vsokpnhmsjpsuuluqtkimnnqgtvnvqlisohmvmvm.tls-5680-5676.tls
- %TEMP%\winrar\registry.tlog
- %TEMP%\winrar\%appdata%\winrar\version.dat
- %TEMP%\winrar\%local appdata%\microsoft\windows\explorer\iconcache_idx.db
- %TEMP%\winrar\%local appdata%\microsoft\windows\explorer\iconcache_16.db
- %TEMP%\winrar\%local appdata%\microsoft\windows\explorer\iconcache_32.db
- %APPDATA%\mozilla\firefox\profiles\dnyauhh1.default-release\key4_temp.db
- %LOCALAPPDATA%\microsoft\edge\user data\default\passwords.db
- %LOCALAPPDATA%\microsoft\edge\user data\default\history.db
- %LOCALAPPDATA%\microsoft\edge\user data\default\webdata.db
- %LOCALAPPDATA%\bunny\wallets\wallet_processing_summary.json
- %LOCALAPPDATA%\bunny\history\msedge - default.txt
- %LOCALAPPDATA%\microsoft\edge\user data\default\credit_cards.db
- %LOCALAPPDATA%\bunny\autofills\autofills.txt
- %LOCALAPPDATA%\bunny\files stolen\desktop\nwfieldnotes1966.docx
- nul
- %LOCALAPPDATA%\microsoft\edge\user data\devtoolsactiveport
- %LOCALAPPDATA%\microsoft\edge\user data\default\gpucache\index
- %LOCALAPPDATA%\microsoft\edge\user data\default\gpucache\data_0
- %LOCALAPPDATA%\microsoft\edge\user data\default\gpucache\data_2
- %LOCALAPPDATA%\microsoft\edge\user data\default\gpucache\data_3
- %LOCALAPPDATA%\microsoft\edge\user data\default\cookies-journal
- %LOCALAPPDATA%\microsoft\edge\user data\default\cookies
- %TEMP%\tmp69afwlxj.ps1
- %LOCALAPPDATA%\bunny\screenshot.png
- %LOCALAPPDATA%\[unknown ip][xx]16-08-25-22-06-26.zip
Удаляет файлы, которые сам же создал
- %TEMP%\i24sp8cf
- %TEMP%\tmp69afwlxj.ps1
Перемещает следующие файлы
- %TEMP%\winrar\registry.rw.tvr.lck.qaxqtygkjuf.ffffffff.e8c в %TEMP%\winrar\registry.rw.tvr.lck
- %TEMP%\winrar\dummytls\-3724.5252.tmp в %TEMP%\winrar\dummytls\dummytls.dll
- %TEMP%\winrar\dummytls\-3724.5252.tmp в %TEMP%\winrar\dummytls\dummytls64.dll
- %TEMP%\winrar\skel\0219f3950ec4e01db24c9ba7d000a7479ca913c7\qualityagent64.exe.162c.1630 в %TEMP%\winrar\skel\0219f3950ec4e01db24c9ba7d000a7479ca913c7\qualityagent64.exe
- %TEMP%\winrar\skel\vsokpnhmsjpsuuluqtkimnnqgtvnvqlisohmvmvm.tls-5680-5676.tls в %TEMP%\winrar\skel\vsokpnhmsjpsuuluqtkimnnqgtvnvqlisohmvmvm.tls
Подменяет следующие файлы
- %TEMP%\winrar\dummytls\-3724.5252.tmp
Сетевая активность
Подключается к
- 'localhost':9876
TCP
Запросы HTTP GET
Другие
- 'localhost':49699
- 'localhost':49700
UDP
- DNS ASK ap#.#pify.org
- DNS ASK sc###.vmware.com
- DNS ASK ht##bin.org
- DNS ASK ap#.#yip.com
- DNS ASK ca##ox.moe
- DNS ASK ap#.#ofile.io
- DNS ASK ap#.##legram.org
Другое
Ищет следующие окна
- ClassName: 'WinRarWindow' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\serviceupdate_2608.exe'
- '%TEMP%\winrar\skel\0219f3950ec4e01db24c9ba7d000a7479ca913c7\qualityagent64.exe' -Report "WinRAR" "%LOCALAPPDATA%\Temp"
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -File %TEMP%\tmp69afwlxj.ps1
Перезапускает анализируемый образец
Запускает на исполнение
- '%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe' --remote-debugging-port=9876 "--user-data-dir=%LOCALAPPDATA%\Microsoft\Edge\User Data" --profile-directory=Default --remote-allow-origins=* --headless=new --disable-gpu --no-sandbox
