ለማልዌር ትንተና የተሰጡ ተከታታይ ጽሑፎቻችንን እንቀጥላለን። ውስጥ በከፊል፣ በ CERT ቡድን-IB የማልዌር ትንተና ባለሙያ Ilya Pomerantsev ከአንዱ የአውሮፓ ኩባንያዎች በፖስታ የተላከ ፋይል ላይ ዝርዝር ትንታኔ እንዳደረገ እና እዚያ ስፓይዌር እንዳገኘ ገልፀናል። ወኪል ቴስላ. በዚህ ጽሑፍ ውስጥ ኢሊያ የዋናው ሞጁል ደረጃ-በደረጃ ትንተና ውጤቶችን ያቀርባል ወኪል ቴስላ.
ኤጀንት ቴስላ ማልዌር-እንደ አገልግሎት ሞዴልን በህጋዊ የኪሎገር ምርት ስም የሚሰራጭ ሞዱል የስለላ ሶፍትዌር ነው። ኤጀንት ቴስላ የተጠቃሚ ምስክርነቶችን ከአሳሾች፣ የኢሜል ደንበኞች እና የኤፍቲፒ ደንበኞች ወደ አገልጋዩ ለአጥቂዎች ማስተላለፍ እና ማስተላለፍ፣ የቅንጥብ ሰሌዳ ውሂብን መቅዳት እና የመሳሪያውን ስክሪን ማንሳት ይችላል። በመተንተን ጊዜ የገንቢዎቹ ኦፊሴላዊ ድር ጣቢያ አይገኝም።
የማዋቀር ፋይል
ከዚህ በታች ያለው ሠንጠረዥ እርስዎ እየተጠቀሙበት ባለው ናሙና ላይ የትኞቹ ተግባራት እንደሚተገበሩ ይዘረዝራል፡
| መግለጫ | ዋጋ |
| የኪሎገር አጠቃቀም ባንዲራ | እውነተኛ |
| ScreenLogger አጠቃቀም ባንዲራ | የሐሰት |
| የኪይሎገር ምዝግብ ማስታወሻ በደቂቃዎች ውስጥ የመላክ ክፍተት | 20 |
| የስክሪንሎገር ምዝግብ ማስታወሻ በደቂቃዎች ውስጥ የመላክ ክፍተት | 20 |
| የባክስፔስ ቁልፍ አያያዝ ባንዲራ። የውሸት - ምዝግብ ማስታወሻ ብቻ. እውነት ነው - የቀደመውን ቁልፍ ይሰርዛል | የሐሰት |
| የ CNC ዓይነት. አማራጮች፡ smtp፣ webpanel፣ ftp | SMTP |
| ከዝርዝሩ "%filter_list%" ሂደቶችን ለማቋረጥ የክር ማግበር ባንዲራ | የሐሰት |
| UAC ባንዲራ አሰናክል | የሐሰት |
| ተግባር አስተዳዳሪ ባንዲራ አሰናክል | የሐሰት |
| CMD ባንዲራ አሰናክል | የሐሰት |
| መስኮቱን አሂድ ባንዲራ አሰናክል | የሐሰት |
| የመዝገብ መመልከቻ ባንዲራ አሰናክል | የሐሰት |
| የስርዓት መመለሻ ነጥቦችን ባንዲራ አሰናክል | እውነተኛ |
| የቁጥጥር ፓነል ባንዲራ አሰናክል | የሐሰት |
| MSCONFIG ባንዲራ አሰናክል | የሐሰት |
| በ Explorer ውስጥ የአውድ ምናሌውን ለማሰናከል ይጠቁሙ | የሐሰት |
| ባንዲራ ይሰኩ | የሐሰት |
| ወደ ስርዓቱ ሲሰካ ዋናውን ሞጁል ለመቅዳት መንገድ | %startupfolder% %infolder%%insname% |
| ለስርዓቱ ለተመደበው ዋና ሞጁል የ"ስርዓት" እና "ስውር" ባህሪያትን ለማቀናበር ይጠቁሙ | የሐሰት |
| በስርዓቱ ላይ ሲሰካ ዳግም ለማስጀመር ይጠቁሙ | የሐሰት |
| ዋናውን ሞጁል ወደ ጊዜያዊ አቃፊ ለማንቀሳቀስ ይጠቁሙ | የሐሰት |
| UAC ማለፊያ ባንዲራ | የሐሰት |
| የምዝግብ ማስታወሻ ቀን እና ሰዓት ቅርጸት | ዓወት-ወወ-dd HH:mm:ss |
| ለ KeyLogger የፕሮግራም ማጣሪያ ለመጠቀም ይጠቁሙ | እውነተኛ |
| የፕሮግራም ማጣሪያ ዓይነት. 1 - የፕሮግራሙ ስም በመስኮቱ አርእስቶች ውስጥ ይፈለጋል 2 - የፕሮግራሙ ስም በመስኮቱ ሂደት ስም ውስጥ ይፈለጋል |
1 |
| የፕሮግራም ማጣሪያ | "ፌስቡክ" "ትዊተር" "ጂሜይል" "ኢንስታግራም" "ፊልም" "ስካይፕ" "ብልግና" "ጠለፋ" "ዋትስአፕ" "ክርክር" |
ዋናውን ሞጁል ወደ ስርዓቱ በማያያዝ ላይ
ተዛማጁ ባንዲራ ከተዘጋጀ ዋናው ሞጁል በስርዓተ ክወናው ውስጥ ወደተጠቀሰው መንገድ ይገለበጣል.
በማዋቀሩ ላይ ባለው ዋጋ ላይ በመመስረት ፋይሉ "የተደበቀ" እና "ስርዓት" ባህሪያት ተሰጥቷል.
Autorun በሁለት የመመዝገቢያ ቅርንጫፎች ይሰጣል፡-
- HKCU ሶፍትዌር ማይክሮሶፍት ዊንዶውስ የአሁኑ ስሪት አሂድ% የስምሪት ስም%
- HKCUSOFTWAREMIcrosoftWindowsCurrentVersionExplorerStartup ApprovedRun %insregname%
ቡት ጫኚው ወደ ሂደቱ ውስጥ ስለሚያስገባ RegAsmለዋናው ሞጁል የማያቋርጥ ባንዲራ ማዘጋጀት ወደ አስደሳች ውጤቶች ይመራል። ማልዌር እራሱን ከመቅዳት ይልቅ ዋናውን ፋይል ከስርዓቱ ጋር አያይዟል። RegAsm.exeመርፌው በተካሄደበት ወቅት.
ከሲ እና ሲ ጋር መስተጋብር
ጥቅም ላይ የዋለው ዘዴ ምንም ይሁን ምን የኔትወርክ ግንኙነት የሚጀምረው ሀብቱን በመጠቀም የተጎጂውን ውጫዊ አይፒ በማግኘት ነው [.]amazonaws[.]com/.
የሚከተለው በሶፍትዌሩ ውስጥ የቀረቡትን የአውታረ መረብ ግንኙነት ዘዴዎች ይገልጻል።
የድር ፓነል
ግንኙነቱ የሚከናወነው በኤችቲቲፒ ፕሮቶኮል በኩል ነው። ማልዌር የPOST ጥያቄን በሚከተሉት ራስጌዎች ያስፈጽማል፡
- የተጠቃሚ ወኪል፡ Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- ግንኙነት፡- በሕይወት ኑር
- የይዘት አይነት፡ መተግበሪያ/x-www-ፎርም-urlencoded
የአገልጋዩ አድራሻ በእሴቱ ይገለጻል። %PostURL%. የተመሰጠረው መልእክት በመለኪያው ውስጥ ተልኳል። «ፒ». የምስጠራ ዘዴው በክፍል ውስጥ ተገልጿል "የምስጠራ ስልተ-ቀመር" (ዘዴ 2).
የተላለፈው መልእክት ይህን ይመስላል።
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
መለኪያ ዓይነት የመልእክቱን አይነት ያሳያል፡-
hwid - MD5 ሃሽ ከማዘርቦርድ መለያ ቁጥር እና ከፕሮሰሰር መታወቂያ እሴቶች ተመዝግቧል። ብዙውን ጊዜ እንደ የተጠቃሚ መታወቂያ ጥቅም ላይ ይውላል።
ጊዜ - የአሁኑን ጊዜ እና ቀን ለማስተላለፍ ያገለግላል.
ፒሲ ስም - ተብሎ ይገለጻል። /.
logdata - የምዝግብ ማስታወሻ ውሂብ.
የይለፍ ቃሎችን በሚያስተላልፉበት ጊዜ መልእክቱ ይህን ይመስላል፡-
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
የሚከተሉት በቅርጸቱ የተሰረቀው መረጃ መግለጫዎች ናቸው። nclient[]={0}nlink[]={1}የተጠቃሚ ስም[]={2}npassword[]={3}.
SMTP
ግንኙነቱ የሚከናወነው በSMTP ፕሮቶኮል በኩል ነው። የተላለፈው ደብዳቤ በኤችቲኤምኤል ቅርጸት ነው። መለኪያ አካል መምሰል:
የደብዳቤው ራስጌ አጠቃላይ ቅፅ አለው፡- <የተጠቃሚ ስም>/<የኮምፒውተር ስም> <የይዘት አይነት>. የደብዳቤው ይዘት, እንዲሁም አባሪዎች, አልተመሰጠሩም.
ግንኙነቱ የሚከናወነው በኤፍቲፒ ፕሮቶኮል በኩል ነው። ስሙ ያለው ፋይል ወደተገለጸው አገልጋይ ተላልፏል _-_.html. የፋይሉ ይዘት አልተመሰጠረም።
የምስጠራ ስልተ ቀመሮች
ይህ ጉዳይ የሚከተሉትን የምስጠራ ዘዴዎች ይጠቀማል።
የ 1 ስልት
ይህ ዘዴ በዋናው ሞጁል ውስጥ ገመዶችን ለማመሳጠር ያገለግላል. ለማመስጠር ጥቅም ላይ የዋለው ስልተ ቀመር ነው። aes.
ግብአቱ ባለ ስድስት አሃዝ የአስርዮሽ ቁጥር ነው። በእሱ ላይ የሚከተለው ለውጥ ይከናወናል-
ረ(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
የተገኘው እሴት ለተከተተ የውሂብ ድርድር መረጃ ጠቋሚ ነው።
እያንዳንዱ የድርድር አካል ቅደም ተከተል ነው። DWORD. ሲዋሃድ DWORD የባይት ድርድር የተገኘ ነው፡ የመጀመሪያዎቹ 32 ባይት የኢንክሪፕሽን ቁልፍ ሲሆኑ በመቀጠል 16 ባይት የመነሻ ቬክተር ሲሆን ቀሪዎቹ ባይት የተመሰጠረ ውሂብ ናቸው።
የ 2 ስልት
ጥቅም ላይ የዋለው አልጎሪዝም 3DES ሁነታ ውስጥ ECB በጠቅላላ ባይት (በሙሉ ባይት)PKCS7).
ቁልፉ በመለኪያው ይገለጻል %urlkey%ሆኖም ምስጠራ የ MD5 hash ይጠቀማል።
ተንኮል አዘል ተግባር
በጥናት ላይ ያለው ናሙና ተንኮል አዘል ተግባሩን ለመተግበር የሚከተሉትን ፕሮግራሞች ይጠቀማል።
ኪይሎገር
የWinAPI ተግባርን በመጠቀም ተዛማጅ የማልዌር ባንዲራ ካለ WindowsHookEx አዘጋጅ በቁልፍ ሰሌዳው ላይ ለቁልፍ መጫን ክስተቶች የራሱን ተቆጣጣሪ ይመድባል። የተቆጣጣሪው ተግባር የሚጀምረው የነቃውን መስኮት ርዕስ በማግኘት ነው።
የመተግበሪያው ማጣሪያ ባንዲራ ከተዋቀረ ማጣሪያው የሚከናወነው በተጠቀሰው ዓይነት ላይ በመመስረት ነው፡-
- የፕሮግራሙ ስም በመስኮቱ አርእስቶች ውስጥ ይፈለጋል
- የፕሮግራሙ ስም በመስኮቱ ሂደት ስም ውስጥ ይታያል
በመቀጠል፣ በቅርጸቱ ስለ ገባሪው መስኮት መረጃ የያዘ መዝገብ በምዝግብ ማስታወሻው ላይ ይታከላል፡-
ከዚያ ስለተጫነው ቁልፍ መረጃ ይመዘገባል-
| ቁልፍ ፡፡ | መቅዳት |
| Backspace | በBackspace ቁልፍ ሂደት ባንዲራ ላይ በመመስረት፡ ሐሰት - {ተመለስ} እውነት ነው - የቀደመውን ቁልፍ ይሰርዛል |
| የበላይ ቁልፍ | {የበላይ ቁልፍ} |
| ESC | {ESC} |
| ገጽአፕ | {ገጽ አፕ} |
| ወደታች | ↓ |
| ሰርዝ | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| ክፍተት | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| END | {END} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {CTRL} |
| F6 | {F6} |
| ቀኝ | → |
| Up | & uarr; |
| F1 | {F1} |
| ግራ | ← |
| ገጽ ወደ ታች | {ገጽ ወደ ታች} |
| አስገባ | {አስገባ} |
| አሸነፈ | {አሸንፍ} |
| ቁጥር መቆለፊያ | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| መነሻ | {ቤት} |
| ENTER | {ENTER} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| ሌላ ቁልፍ | በ CapsLock እና Shift ቁልፎች አቀማመጥ ላይ በመመስረት ቁምፊው በትልቁ ወይም በትንሽ ፊደላት ነው። |
በተወሰነ ድግግሞሽ, የተሰበሰበው ምዝግብ ወደ አገልጋዩ ይላካል. ዝውውሩ ካልተሳካ, ምዝግብ ማስታወሻው በፋይል ውስጥ ይቀመጣል %TEMP%log.tmp በቅርጸት፡-
ሰዓት ቆጣሪው ሲቃጠል ፋይሉ ወደ አገልጋዩ ይተላለፋል።
ScreenLogger
በተወሰነ ድግግሞሽ፣ ማልዌር በቅርጸቱ ላይ ቅጽበታዊ ገጽ እይታን ይፈጥራል Jpeg ትርጉም ያለው ጥራት ከ 50 ጋር እኩል ነው እና ወደ ፋይል ያስቀምጠዋል %APPDATA %.jpg. ከተላለፈ በኋላ ፋይሉ ይሰረዛል.
ክሊፕቦርድሎገር
ተገቢው ባንዲራ ከተዘጋጀ, ከታች ባለው ሠንጠረዥ መሰረት በተጠለፈው ጽሑፍ ውስጥ ምትክ ተተካ.
ከዚህ በኋላ ጽሑፉ በምዝግብ ማስታወሻው ውስጥ ገብቷል፡-
የይለፍ ቃል መስረቅ
ማልዌር የይለፍ ቃሎችን ከሚከተሉት መተግበሪያዎች ማውረድ ይችላል።
| አሳሾች | ደንበኞችን ኢሜይል ያድርጉ | የኤፍቲፒ ደንበኞች |
| Chrome | Outlook | FileZilla |
| Firefox | ተንደርበርድ | WS_FTP |
| IE/ Edge | የቀበሮ ደብዳቤ | WinSCP |
| ሳፋሪ | ኦፔራ ሜይል | CoreFTP |
| Opera Browser | IncrediMail | የኤፍቲፒ ዳሳሽ |
| Yandex | ፖኮሜል | FlashFXP |
| ኮሞዶ | Eudora | SmartFTP |
| ChromePlus | TheBat | የኤፍቲፒ ኮማንደር |
| የ Chromium | የፖስታ ሣጥን | |
| ችቦ | ClawsMail | |
| 7Star | ||
| ጓደኛ | ||
| BraveSoftware | የጃበር ደንበኞች | የቪፒኤን ደንበኞች |
| ሴንት አሳሽ | Psi/Psi+ | ክፈት VPN |
| Chedot | ||
| ኮክኮክ | ||
| ንጥረ ነገሮች አሳሽ | አውርድ አስተዳዳሪዎች | |
| የግጥም ገመና አሳሾች | Internet Download Manager | |
| ኮሜታ | JDownloader | |
| ምህዋር | ||
| በ Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| መንጋ አሳሽ | ||
| UC አሳሽ | ||
| ብላክሃውክ | ||
| ሳይበር ፎክስ | ||
| K-meleon | ||
| አይስክራት | ||
| አይስድራጎን | ||
| Palemoon | ||
| የውሃ ፎክስ | ||
| ፋልኮን አሳሽ |
ተለዋዋጭ ትንታኔን መቃወም
- ተግባሩን በመጠቀም እንቅልፍ. አንዳንድ የማጠሪያ ሳጥኖችን በጊዜ ማብቂያ እንዲያልፉ ያስችልዎታል
- ክር ማጥፋት ቀጠና. ፋይልን ከበይነመረቡ የማውረድ እውነታ እንዲደብቁ ያስችልዎታል
- በመለኪያ %filter_list% ተንኮል አዘል ዌር በአንድ ሰከንድ ጊዜ ውስጥ የሚያቋርጥባቸውን ሂደቶች ዝርዝር ይገልጻል
- ግንኙነት በማቋረጥ ላይ UAC
- የተግባር አስተዳዳሪን በማሰናከል ላይ
- ግንኙነት በማቋረጥ ላይ CMD
- መስኮትን በማሰናከል ላይ «Пыполнить»
- የቁጥጥር ፓነልን በማሰናከል ላይ
- መሣሪያን በማሰናከል ላይ RegEdit
- የስርዓት መመለሻ ነጥቦችን በማሰናከል ላይ
- በ Explorer ውስጥ የአውድ ምናሌን ያሰናክሉ።
- ግንኙነት በማቋረጥ ላይ MSCONFIG
- ማለፊያ UAC:
የዋናው ሞጁል ንቁ ያልሆኑ ባህሪዎች
በዋናው ሞጁል ትንተና ወቅት በኔትወርኩ ውስጥ ለመሰራጨት እና የመዳፊቱን አቀማመጥ ለመከታተል ኃላፊነት ያላቸው ተግባራት ተለይተዋል.
ትል
ተነቃይ ሚዲያን ለማገናኘት ዝግጅቶች በተለየ ክር ውስጥ ክትትል ይደረግባቸዋል. ሲገናኝ ስሙ ያለው ማልዌር ወደ የፋይል ስርዓቱ ስር ይገለበጣል scr.exe, ከዚያ በኋላ በቅጥያው ፋይሎችን ይፈልጋል lnk. የሁሉም ሰው ቡድን lnk ይለወጣል cmd.exe / c scr.exe ጀምር&ጀምር እና ውጣ.
በመገናኛ ብዙሃን ስር ያለው እያንዳንዱ ማውጫ ባህሪ ተሰጥቷል "የተደበቀ" እና ፋይል ከቅጥያው ጋር ተፈጥሯል። lnk በተሰወረው ማውጫ እና በትእዛዙ ስም cmd.exe / c ጀምር scr.exe&አሳሽ / ስር፣"%CD%<ዳይሬክተሪ ስም>" እና ውጣ.
MouseTracker
መጥለፍን የማከናወን ዘዴ ለቁልፍ ሰሌዳ ጥቅም ላይ ከሚውለው ጋር ተመሳሳይ ነው። ይህ ተግባር አሁንም በመገንባት ላይ ነው።
የፋይል እንቅስቃሴ
| መንገድ | መግለጫ |
| %Temp%temp.tmp | ለ UAC ማለፊያ ሙከራዎች ቆጣሪ ይዟል |
| %startupfolder%%insfolder%%insname% | ለHPE ስርዓት የሚመደብበት መንገድ |
| %Temp%tmpG{አሁን ያለው ጊዜ በሚሊሰከንዶች}.tmp | ለዋናው ሞጁል የመጠባበቂያ መንገድ |
| %Temp%log.tmp | የምዝግብ ማስታወሻ ፋይል |
| %AppData%{የ10 ቁምፊዎች የዘፈቀደ ቅደም ተከተል}.jpeg | ቅጽበታዊ ገጽ እይታዎች |
| C:UsersPublic{የ10 ቁምፊዎች የዘፈቀደ ቅደም ተከተል}.vbs | ቡት ጫኚው ከስርዓቱ ጋር ለማያያዝ ሊጠቀምበት የሚችለው የvbs ፋይል ዱካ |
| %Temp%{ብጁ የአቃፊ ስም {የፋይል ስም} | እራሱን ከስርዓቱ ጋር ለማያያዝ በቡት ጫኚው የሚጠቀምበት መንገድ |
የአጥቂ መገለጫ
ሃርድ ኮድ ለተደረገው የማረጋገጫ መረጃ ምስጋና ይግባውና የትእዛዝ ማእከሉን ማግኘት ችለናል።
ይህ የአጥቂዎቹን የመጨረሻ ኢሜይል እንድንለይ አስችሎናል፡-
junaid[.] in***@gmail[.]com.
የትእዛዝ ማእከሉ ጎራ ስም በፖስታ ውስጥ ተመዝግቧል sg***@gmail[.]com.
መደምደሚያ
በጥቃቱ ውስጥ ጥቅም ላይ የዋለውን ማልዌር በዝርዝር ሲተነተን ተግባራቱን ማረጋገጥ ችለናል እና ከዚህ ጉዳይ ጋር ተዛማጅነት ያላቸውን በጣም የተሟላ የስምምነት አመላካቾች ዝርዝር ማግኘት ችለናል። በተንኮል አዘል ዌር መካከል ያለውን የአውታረ መረብ መስተጋብር ዘዴዎችን መረዳቱ የመረጃ ደህንነት መሳሪያዎችን አሠራር ለማስተካከል ምክሮችን ለመስጠት እና የተረጋጋ የIDS ህጎችን ለመፃፍ አስችሎታል።
ዋናው አደጋ ወኪል ቴስላ ልክ እንደ DataStealer በስርዓቱ ውስጥ መፈጸም አያስፈልገውም ወይም የቁጥጥር ትእዛዝ ተግባሮቹን ለማከናወን መጠበቅ አያስፈልገውም. ማሽኑ ላይ ከገባ በኋላ ወዲያውኑ የግል መረጃዎችን መሰብሰብ ይጀምራል እና ወደ CnC ያስተላልፋል። ይህ ጠበኛ ባህሪ በአንዳንድ መንገዶች ከራንሰምዌር ባህሪ ጋር ተመሳሳይ ነው፣ ልዩነቱ የኋለኛው የአውታረ መረብ ግንኙነት እንኳን የማይፈልግ መሆኑ ብቻ ነው። ይህ ቤተሰብ ካጋጠመህ የተበከለውን ስርዓት ከማልዌር ካጸዳህ በኋላ በእርግጠኝነት ቢያንስ በንድፈ ሀሳብ ከላይ ከተዘረዘሩት መተግበሪያዎች ውስጥ ሊቀመጡ የሚችሉ ሁሉንም የይለፍ ቃሎች መቀየር አለብህ።
ወደ ፊት ስንመለከት አጥቂዎች እየላኩ እንበል ወኪል ቴስላ, የመነሻ ቡት ጫኝ በጣም ብዙ ጊዜ ይለወጣል. ይህ በጥቃቱ ጊዜ በስታቲክ ስካነሮች እና በሂዩሪስቲክ ተንታኞች ሳይስተዋል እንዲቆዩ ያስችልዎታል። እና የዚህ ቤተሰብ ተግባራቸውን ወዲያውኑ የመጀመር አዝማሚያ የስርዓት መቆጣጠሪያዎችን ከንቱ ያደርገዋል። AgentTeslaን ለመዋጋት ምርጡ መንገድ በአሸዋ ሳጥን ውስጥ የመጀመሪያ ደረጃ ትንተና ነው።
በዚህ ተከታታይ ሶስተኛው መጣጥፍ ውስጥ ሌሎች ጥቅም ላይ የዋሉ ቡት ጫኚዎችን እንመለከታለን ወኪል ቴስላ, እና እንዲሁም በከፊል አውቶማቲክ የማሸግ ሂደቱን ያጠኑ. እንዳያመልጥዎ!
ሃሽ
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
ሲ እና ሲ
| ዩ አር ኤል |
| sina-c0m[.] icu |
| smtp[.] sina-c0m[.] icu |
RegKey
| መዝገብ |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{የስክሪፕት ስም} |
| HKCUSoftware MicrosoftWindowsCurrentVersion% insregname% |
| HKCUSOFTWAREMIcrosoftWindowsCurrentVersionExplorerStartup ApprovedRun% inregname% |
ሙትክስ
ምንም ጠቋሚዎች የሉም.
ፋይሎች
| የፋይል እንቅስቃሴ |
| %Temp%temp.tmp |
| %startupfolder%%insfolder%%insname% |
| %Temp%tmpG{አሁን ያለው ጊዜ በሚሊሰከንዶች}.tmp |
| %Temp%log.tmp |
| %AppData%{የ10 ቁምፊዎች የዘፈቀደ ቅደም ተከተል}.jpeg |
| C:UsersPublic{የ10 ቁምፊዎች የዘፈቀደ ቅደም ተከተል}.vbs |
| %Temp%{ብጁ የአቃፊ ስም {የፋይል ስም} |
የናሙናዎች መረጃ
| ስም | ያልታወቀ |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| ዓይነት | ፒኢ (.NET) |
| መጠን | 327680 |
| የመጀመሪያ ስም | AZZRIDKGGSLTYFUUBCCRUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| የቀን ማህተም | 01.07.2019 |
| ኮምፓየር | VB.NET |
| ስም | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| ዓይነት | PE (.NET DLL) |
| መጠን | 16896 |
| የመጀመሪያ ስም | IELibrary.dll |
| የቀን ማህተም | 11.10.2016 |
| ኮምፓየር | የማይክሮሶፍት ሊንከር (48.0*) |
ምንጭ: hab.com