Keylogger ជាមួយនឹងការភ្ញាក់ផ្អើលមួយ: ការវិភាគនៃ keylogger និង deanon របស់អ្នកអភិវឌ្ឍន៍របស់ខ្លួន។

ក្នុងរយៈពេលប៉ុន្មានឆ្នាំចុងក្រោយនេះ Trojan ចល័តបាននិងកំពុងជំនួសយ៉ាងសកម្មនូវ Trojan សម្រាប់កុំព្យូទ័រផ្ទាល់ខ្លួន ដូច្នេះហើយការលេចឡើងនៃមេរោគថ្មីសម្រាប់ "រថយន្ត" ចាស់ៗដ៏ល្អ និងការប្រើប្រាស់សកម្មរបស់ពួកគេដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ទោះបីជាមិនសប្បាយចិត្តក៏ដោយ ក៏នៅតែជាព្រឹត្តិការណ៍មួយ។ ថ្មីៗនេះ មជ្ឈមណ្ឌលឆ្លើយតបឧបទ្ទវហេតុសុវត្ថិភាពព័ត៌មាន 24/7 របស់ CERT Group-IB បានរកឃើញអ៊ីមែលបន្លំខុសពីធម្មតា ដែលកំពុងលាក់មេរោគកុំព្យូទ័រថ្មី ដែលរួមបញ្ចូលគ្នានូវមុខងាររបស់ Keylogger និង PasswordStealer ។ ការយកចិត្តទុកដាក់របស់អ្នកវិភាគត្រូវបានទាក់ទាញទៅលើរបៀបដែល Spyware ចូលទៅក្នុងម៉ាស៊ីនរបស់អ្នកប្រើ ដោយប្រើកម្មវិធីផ្ញើសារជាសំឡេងដ៏ពេញនិយម។ Ilya Pomerantsevដែលជាអ្នកឯកទេសវិភាគមេរោគនៅ CERT Group-IB បានពន្យល់ពីរបៀបដែលមេរោគដំណើរការ ហេតុអ្វីបានជាវាមានគ្រោះថ្នាក់ ហើយថែមទាំងបានរកឃើញអ្នកបង្កើតរបស់វានៅអ៊ីរ៉ាក់ឆ្ងាយ។

ដូច្នេះ ចូរ​យើង​ទៅ​តាម​លំដាប់។ នៅក្រោមរូបភាពនៃឯកសារភ្ជាប់ សំបុត្របែបនេះមានរូបភាពមួយ នៅពេលចុចលើអ្នកប្រើប្រាស់ត្រូវបានគេយកទៅគេហទំព័រ cdn.discordapp.comហើយឯកសារព្យាបាទមួយត្រូវបានទាញយកពីទីនោះ។

ការប្រើប្រាស់ Discord ដែលជាសំឡេងឥតគិតថ្លៃ និងផ្ញើសារជាអក្សរ គឺពិតជាមិនធម្មតា។ ជាធម្មតា អ្នកផ្ញើសារបន្ទាន់ ឬបណ្តាញសង្គមផ្សេងទៀតត្រូវបានប្រើសម្រាប់គោលបំណងទាំងនេះ។

ក្នុងអំឡុងពេលនៃការវិភាគលម្អិតបន្ថែមទៀត ក្រុមគ្រួសារនៃមេរោគត្រូវបានរកឃើញ។ វាបានប្រែក្លាយទៅជាអ្នកចំណូលថ្មីចំពោះទីផ្សារមេរោគ - 404 Keylogger.

ការផ្សាយពាណិជ្ជកម្មដំបូងសម្រាប់ការលក់ keylogger ត្រូវបានបង្ហោះនៅលើ វេទិកា hack ដោយអ្នកប្រើប្រាស់ក្រោមឈ្មោះហៅក្រៅ "404 Coder" នៅថ្ងៃទី 8 ខែសីហា។

ដែនហាងត្រូវបានចុះឈ្មោះថ្មីៗនេះ - នៅថ្ងៃទី 7 ខែកញ្ញា ឆ្នាំ 2019។

ដូចដែលអ្នកអភិវឌ្ឍន៍និយាយនៅលើគេហទំព័រ 404 គម្រោង[.]xyz, 404 គឺជាឧបករណ៍ដែលត្រូវបានរចនាឡើងដើម្បីជួយក្រុមហ៊ុនសិក្សាអំពីសកម្មភាពរបស់អតិថិជនរបស់ពួកគេ (ដោយមានការអនុញ្ញាតពីពួកគេ) ឬសម្រាប់អ្នកដែលចង់ការពារប្រព័ន្ធគោលពីររបស់ពួកគេពីវិស្វកម្មបញ្ច្រាស។ ក្រឡេកមើលទៅមុខ ចូរនិយាយថាជាមួយនឹងកិច្ចការចុងក្រោយ 404 ច្បាស់ជាមិនអាចទ្រាំបាន។

យើងបានសម្រេចចិត្តបញ្ច្រាសឯកសារមួយ ហើយពិនិត្យមើលថាតើ "BEST SMART KEYLOGGER" ជាអ្វី។

ប្រព័ន្ធអេកូមេរោគ

Loader 1 (AtillaCrypter)

ឯកសារប្រភពត្រូវបានការពារដោយប្រើ EaxObfuscator និងអនុវត្តការផ្ទុកពីរជំហាន AtProtect ពីផ្នែកធនធាន។ ក្នុងអំឡុងពេលនៃការវិភាគលើសំណាកផ្សេងទៀតដែលបានរកឃើញនៅលើ VirusTotal វាច្បាស់ណាស់ថាដំណាក់កាលនេះមិនត្រូវបានផ្តល់ដោយអ្នកអភិវឌ្ឍន៍ខ្លួនឯងទេ ប៉ុន្តែត្រូវបានបន្ថែមដោយអតិថិជនរបស់គាត់។ ក្រោយមកវាត្រូវបានគេកំណត់ថាកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធនេះគឺជា AtillaCrypter ។

កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ 2 (AtProtect)

តាមពិត កម្មវិធីផ្ទុកនេះគឺជាផ្នែកសំខាន់មួយនៃមេរោគ ហើយយោងទៅតាមបំណងរបស់អ្នកអភិវឌ្ឍន៍ គួរតែទទួលយកមុខងារនៃការវិភាគប្រឆាំង។

ទោះជាយ៉ាងណាក៏ដោយ នៅក្នុងការអនុវត្តជាក់ស្តែង យន្តការការពារគឺមានលក្ខណៈដើមបំផុត ហើយប្រព័ន្ធរបស់យើងអាចរកឃើញមេរោគនេះដោយជោគជ័យ។

ម៉ូឌុលសំខាន់ត្រូវបានផ្ទុកដោយប្រើ Franchy ShellCode កំណែផ្សេងគ្នា។ ទោះយ៉ាងណាក៏ដោយ យើងមិនរាប់បញ្ចូលថាជម្រើសផ្សេងទៀតអាចត្រូវបានប្រើទេ ឧទាហរណ៍ រត់PE.

ឯកសារកំណត់រចនាសម្ព័ន្ធ

ការជួសជុលនៅក្នុងប្រព័ន្ធ

ការបង្រួបបង្រួមនៅក្នុងប្រព័ន្ធត្រូវបានធានាដោយកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ AtProtectប្រសិនបើទង់ដែលត្រូវគ្នាត្រូវបានកំណត់។

• ឯកសារ​ត្រូវ​បាន​ចម្លង​តាម​ផ្លូវ %AppData%GFqaakZpzwm.exe.
• ឯកសារត្រូវបានបង្កើត %AppData%GFqaakWinDriv.url, បើកដំណើរការ Zpzwm.exe.
• នៅក្នុងខ្សែស្រឡាយ HKCUSoftwareMicrosoftWindowsCurrentVersionRun សោចាប់ផ្តើមត្រូវបានបង្កើតឡើង WinDriv.url.

អន្តរកម្មជាមួយ C&C

Loader AtProtect

ប្រសិនបើទង់សមស្របមានវត្តមាន មេរោគអាចចាប់ផ្តើមដំណើរការលាក់ កម្មវិធី iexplorer ហើយធ្វើតាមតំណដែលបានបញ្ជាក់ ដើម្បីជូនដំណឹងដល់ម៉ាស៊ីនមេអំពីការឆ្លងជោគជ័យ។

អ្នកលួចទិន្នន័យ

ដោយមិនគិតពីវិធីសាស្រ្តដែលបានប្រើ ការទំនាក់ទំនងបណ្តាញចាប់ផ្តើមជាមួយនឹងការទទួលបាន IP ខាងក្រៅរបស់ជនរងគ្រោះដោយប្រើធនធាន [http]://checkip[.]dyndns[.]org/.

ភ្នាក់ងារអ្នកប្រើប្រាស់៖ Mozilla/4.0 (ឆបគ្នា; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

រចនាសម្ព័ន្ធទូទៅនៃសារគឺដូចគ្នា។ បឋមកថាមានវត្តមាន
|——- 404 Keylogger — {Type} ——-|ដែលជាកន្លែង {ប្រភេទ} ត្រូវគ្នាទៅនឹងប្រភេទនៃព័ត៌មានដែលត្រូវបានបញ្ជូន។
ខាងក្រោមនេះជាព័ត៌មានអំពីប្រព័ន្ធ៖

__________ + ព័ត៌មានជនរងគ្រោះ + _______

IP៖ {IP ខាងក្រៅ}
ឈ្មោះម្ចាស់៖ {ឈ្មោះកុំព្យូទ័រ}
ឈ្មោះ OS៖ {OS Name}
កំណែ OS៖ {OS Version}
វេទិកាប្រព័ន្ធប្រតិបត្តិការ៖ {វេទិកា}
ទំហំ RAM៖ {ទំហំ RAM}
______________________________

ហើយទីបំផុតទិន្នន័យដែលបានបញ្ជូន។

របស់ SMTP

ប្រធានបទនៃលិខិតមានដូចខាងក្រោម៖ 404 K | {ប្រភេទសារ} | ឈ្មោះអតិថិជន៖ {ឈ្មោះអ្នកប្រើប្រាស់}.

គួរឱ្យចាប់អារម្មណ៍ដើម្បីបញ្ជូនសំបុត្រទៅអតិថិជន 404 Keylogger ម៉ាស៊ីនមេ SMTP របស់អ្នកអភិវឌ្ឍន៍ត្រូវបានប្រើប្រាស់។

វាធ្វើឱ្យវាអាចកំណត់អត្តសញ្ញាណអតិថិជនមួយចំនួន ក៏ដូចជាអ៊ីមែលរបស់អ្នកអភិវឌ្ឍន៍ណាមួយ។

FTP

នៅពេលប្រើវិធីនេះ ព័ត៌មានដែលប្រមូលបានត្រូវបានរក្សាទុកក្នុងឯកសារ ហើយអានភ្លាមៗពីទីនោះ។

តក្កវិជ្ជានៅពីក្រោយសកម្មភាពនេះគឺមិនច្បាស់លាស់ទាំងស្រុងនោះទេ ប៉ុន្តែវាបង្កើតវត្ថុបុរាណបន្ថែមសម្រាប់ការសរសេរច្បាប់អាកប្បកិរិយា។

%HOMEDRIVE%%HOMEPATH%DocumentsA{លេខបំពាន}.txt

PasteBin

នៅពេលនៃការវិភាគ វិធីសាស្ត្រនេះត្រូវបានប្រើដើម្បីផ្ទេរពាក្យសម្ងាត់ដែលលួចប៉ុណ្ណោះ។ លើសពីនេះទៅទៀត វាត្រូវបានគេប្រើមិនមែនជាជម្រើសសម្រាប់ពីរដំបូងឡើយ ប៉ុន្តែស្របគ្នា។ លក្ខខណ្ឌគឺជាតម្លៃនៃថេរស្មើនឹង "វ៉ាវ៉ា" ។ សន្មតថានេះជាឈ្មោះរបស់អតិថិជន។

អន្តរកម្មកើតឡើងតាមរយៈពិធីការ https តាមរយៈ API ប៉ាស្ទីប៊ីន. អត្ថន័យ api_paste_ឯកជន ស្មើ PASTE_UNLISTEDដែលហាមឃាត់ការស្វែងរកទំព័របែបនេះនៅក្នុង ប៉ាស្ទីប៊ីន.

ក្បួនដោះស្រាយការអ៊ិនគ្រីប

ការទាញយកឯកសារពីធនធាន

បន្ទុកត្រូវបានផ្ទុកនៅក្នុងធនធានកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ AtProtect ក្នុងទម្រង់រូបភាព Bitmap ។ ការស្រង់ចេញត្រូវបានអនុវត្តក្នុងដំណាក់កាលជាច្រើន៖

• អារេនៃបៃត្រូវបានស្រង់ចេញពីរូបភាព។ ភីកសែលនីមួយៗត្រូវបានចាត់ទុកជាលំដាប់នៃ 3 បៃក្នុងលំដាប់ BGR ។ បន្ទាប់ពីការស្រង់ចេញ 4 បៃដំបូងនៃអារេរក្សាទុកប្រវែងនៃសារ អ្នកដែលបន្តបន្ទាប់រក្សាទុកសារដោយខ្លួនឯង។

  

• គន្លឹះត្រូវបានគណនា។ ដើម្បីធ្វើដូចនេះ MD5 ត្រូវបានគណនាពីតម្លៃ "ZpzwmjMJyfTNiRalKVrcSkxCN" ដែលបានបញ្ជាក់ជាពាក្យសម្ងាត់។ សញ្ញាលទ្ធផលត្រូវបានសរសេរពីរដង។

  

• ការឌិគ្រីបត្រូវបានអនុវត្តដោយប្រើក្បួនដោះស្រាយ AES នៅក្នុងរបៀប ECB ។

មុខងារព្យាបាទ

ទាញយកឯកសារ

បានអនុវត្តនៅក្នុងកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ AtProtect.

• ដោយទំនាក់ទំនង [activelink-repalce] ស្ថានភាពរបស់ម៉ាស៊ីនមេត្រូវបានស្នើសុំដើម្បីបញ្ជាក់ថាវារួចរាល់ដើម្បីបម្រើឯកសារ។ ម៉ាស៊ីនមេគួរតែត្រលប់មកវិញ "បើក".
• តាមតំណ [ទាញយកតំណជំនួស] បន្ទុកត្រូវបានទាញយក។
• ដោយមានជំនួយពី កូដ FranchyShell បន្ទុកត្រូវបានចាក់ចូលទៅក្នុងដំណើរការ [inj-ជំនួស].

កំឡុងពេលវិភាគដែន 404 គម្រោង[.]xyz ករណីបន្ថែមត្រូវបានរកឃើញនៅលើ VirusTotal 404 Keyloggerក៏ដូចជាឧបករណ៍ផ្ទុកជាច្រើនប្រភេទ។

តាមធម្មតាពួកគេត្រូវបានបែងចែកជាពីរប្រភេទ៖

1. ការទាញយកត្រូវបានអនុវត្តពីធនធាន 404 គម្រោង[.]xyz.

   
   ទិន្នន័យត្រូវបានអ៊ិនកូដ Base64 ហើយត្រូវបានអ៊ិនគ្រីប AES ។

2. ជម្រើសនេះមានដំណាក់កាលជាច្រើន ហើយទំនងជាត្រូវបានប្រើប្រាស់ដោយភ្ជាប់ជាមួយកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ AtProtect.

• នៅដំណាក់កាលដំបូងទិន្នន័យត្រូវបានផ្ទុកពី ប៉ាស្ទីប៊ីន និងឌិកូដដោយប្រើមុខងារ HexToByte.

  

• នៅដំណាក់កាលទីពីរប្រភពនៃការផ្ទុកគឺ 404 គម្រោង[.]xyz. ទោះយ៉ាងណាក៏ដោយ មុខងារ decompression និង decoding គឺស្រដៀងទៅនឹងអ្វីដែលមាននៅក្នុង DataStealer។ វាប្រហែលជាត្រូវបានគ្រោងទុកដំបូងដើម្បីអនុវត្តមុខងារកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធនៅក្នុងម៉ូឌុលមេ។

  

• នៅដំណាក់កាលនេះ payload មានរួចហើយនៅក្នុង resource manifest ក្នុងទម្រង់ដែលបានបង្ហាប់។ មុខងារទាញយកស្រដៀងគ្នាក៏ត្រូវបានរកឃើញនៅក្នុងម៉ូឌុលមេផងដែរ។

អ្នកទាញយកត្រូវបានរកឃើញក្នុងចំណោមឯកសារដែលបានវិភាគ njRat, SpyGate និង RATs ផ្សេងទៀត។

Keylogger ។

រយៈពេលនៃការផ្ញើកំណត់ហេតុ៖ ៣០ នាទី។

តួអក្សរទាំងអស់ត្រូវបានគាំទ្រ។ តួអក្សរពិសេសត្រូវបានរត់គេចខ្លួន។ មានដំណើរការសម្រាប់ BackSpace និង Delete keys។ ប្រកាន់​តួអក្សរ​តូច​ធំ។

ក្តារតម្បៀតខ្ទាស់

រយៈពេលនៃការផ្ញើកំណត់ហេតុ៖ ៣០ នាទី។

រយៈពេលបោះឆ្នោតបណ្តោះអាសន្ន៖ 0,1 វិនាទី។

ការរត់ចេញពីតំណដែលបានអនុវត្ត។

ScreenLogger

រយៈពេលនៃការផ្ញើកំណត់ហេតុ៖ ៣០ នាទី។

រូបថតអេក្រង់ត្រូវបានរក្សាទុកក្នុង %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

បន្ទាប់ពីផ្ញើថតឯកសារ 404k ត្រូវបានលុប។

អ្នកលួចពាក្យសម្ងាត់

ប៊េរីសសេរៀ	អតិថិជនអ៊ីមែល	អតិថិជន FTP
កម្មវិធី Chrome	ទស្សនវិស័យ	FileZilla
របស់ Firefox	មយូរា
SeaMonkey	សំបុត្រ Fox
នាគទឹកកក
ផាលម៉ុន
cyberfox
កម្មវិធី Chrome
BraveBrowser
QQBrowser
IridiumBrowser
XvastBrowser
ឆូត
360 កម្មវិធីរុករក
ComodoDragon
360Chrome
SuperBird
CentBrowser
GhostBrowser
IronBrowser
Chromium
Vivaldi
SlimjetBrowser
អ័រដុម
កូកូកូ
ឆ័ត្រ
UCBrowser
EpicBrowser
BliskBrowser
ល្ខោនអូប៉េរ៉ា

ការប្រឆាំងទៅនឹងការវិភាគថាមវន្ត

• ពិនិត្យមើលថាតើដំណើរការមួយស្ថិតក្រោមការវិភាគដែរឬទេ

  ដំណើរការដោយប្រើការស្វែងរក ភារកិច្ច mgr, ProcessHacker, procexp64, procexp, ប្រូម៉ុន. ប្រសិនបើរកឃើញយ៉ាងហោចណាស់មួយ មេរោគនឹងចេញ។

• កំពុងពិនិត្យមើលថាតើអ្នកស្ថិតនៅក្នុងបរិយាកាសនិម្មិតដែរឬទេ

  ដំណើរការដោយប្រើការស្វែងរក vmtoolsd, សេវាកម្ម VGAuth, vmacthlp, សេវាកម្ម VBox, VBoxTray. ប្រសិនបើរកឃើញយ៉ាងហោចណាស់មួយ មេរោគនឹងចេញ។

• ដេកលក់ 5 វិនាទី
• ការបង្ហាញប្រភេទផ្សេងគ្នានៃប្រអប់ប្រអប់

  អាចត្រូវបានប្រើដើម្បីឆ្លងកាត់ប្រអប់ខ្សាច់មួយចំនួន។

• ឆ្លងកាត់ UAC

  អនុវត្តដោយការកែសម្រួលកូនសោចុះបញ្ជី EnableLUA នៅក្នុងការកំណត់គោលការណ៍ក្រុម។

• អនុវត្តគុណលក្ខណៈ "លាក់" ទៅឯកសារបច្ចុប្បន្ន។
• សមត្ថភាពក្នុងការលុបឯកសារបច្ចុប្បន្ន។

លក្ខណៈពិសេសអសកម្ម

ក្នុងអំឡុងពេលនៃការវិភាគនៃកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ និងម៉ូឌុលមេ មុខងារត្រូវបានរកឃើញដែលទទួលខុសត្រូវចំពោះមុខងារបន្ថែម ប៉ុន្តែវាមិនត្រូវបានប្រើនៅកន្លែងណានោះទេ។ នេះប្រហែលជាដោយសារតែមេរោគនៅតែស្ថិតក្នុងការអភិវឌ្ឍន៍ ហើយមុខងារនឹងត្រូវបានពង្រីកក្នុងពេលឆាប់ៗនេះ។

Loader AtProtect

មុខងារមួយត្រូវបានរកឃើញដែលទទួលខុសត្រូវសម្រាប់ការផ្ទុក និងចាក់ចូលទៅក្នុងដំណើរការ msiexec.exe ។ ម៉ូឌុលបំពាន។

អ្នកលួចទិន្នន័យ

• ការជួសជុលនៅក្នុងប្រព័ន្ធ

  

• មុខងារ decompression និង decryption

  
  
  វាទំនងជាថាការអ៊ិនគ្រីបទិន្នន័យក្នុងអំឡុងពេលទំនាក់ទំនងបណ្តាញនឹងត្រូវបានអនុវត្តក្នុងពេលឆាប់ៗនេះ។

• ការបញ្ចប់ដំណើរការកំចាត់មេរោគ

zlclient	Dvp95_0	Pavsche	avgserv9
អ៊ីហ្គី	Ecengine	ប៉ាវ	avgserv9schedapp
bdagent	សុវត្ថិភាព	ភីស៊ីស៊ីអូម៉ុន	avgemc
npfmsg	Espwatch	PCCMAIN	ashwebsv
olydbg	F-Agnt95	Pccwin98	ashdisp
អានូប៊ីស	ស្វែងរកវីរ	Pcfwallicon	ashmaisv
wireshark	Fprot	Persfw	ashserv
avastui	អេហ្វ - ប្រូ	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	PVIEW95	ស៊ីមwsc
vsmon	Fp-Win	រ៉ាក់ ៣៥៦	ន័រតុន
ម៉ែ	ហ្វ្រី	Rav7win	ន័រតុនការពារដោយស្វ័យប្រវត្តិ
កូនសោរ	F-Stopw	សង្គ្រោះ	ន័រតុន_av
_Avpcc	អ៊ីម៉ាប	គេហទំព័រសុវត្ថិភាព	ន័រតុន
_Avpm	Iamserv	ស្កេន ៣	ccsetmgr
អាកវីន៣២	អ៊ីម៉ាន	ស្កេន ៣	ccevtmgr
កន្លែងឈរជើង។	អ៊ីម៉ាវអេសភី	ស្កែនភីម	avadmin
ប្រឆាំងមេរោគ Trojan	Icload95	ស្កេន	avcenter
ប្រឆាំងនឹងមេរោគ	Icloadnt	បម្រើ ៩៥	មធ្យម
Apvxdwin	អ៊ីម៉ុន	Smc	avguard
ATRACK	Icsup95	SMCSERVICE	ជូនដំណឹង
ស្វ័យប្រវត្តិ	Icsupnt	Snort	avscan
Avconsol	អ៊ីហ្វេ	Sphinx	guardgui
Ave ៤២៧	អ៊ីយ៉ូម៉ុន ៩៨	បោស ២	nod32krn
Avgctrl	Jedi	SYMPROXYSVC	nod32 គុយ
Avkserv	ការចាក់សោរ 2000	Tbscan	clamscan
Avnt	ឃ្លាំមើល	Tca	clamTray
Avp	លូល	Tds2-98	clamWin
Avp32	ហាងកាហ្វេ	Tds2-Nt	freshclam
Avpcc	ម៉ូលីវ	TermiNET	អូឡាឌីន
Avpdos32	MPftray	វេត ៩៥	ឧបករណ៍សញ្ញា
Avpm	ស្កេន N32	វេតត្រាយ	w9xpopen
Avptc32	NAVAPSVC	Vscan40	បិទ
Avpupd	NAVAPW32	Vsecomr	cmgrdian
Avsched32	ណវលុ៣២	វីស្វីន៣២	alogserv
AVSYNMGR	ណាវ៉ាន	Vsstat	mcshield
អាវីន ៩៥	ណាវរុណ	Webscanx	vshwin32
Avwupd32	ណាវី ៣២	WEBTRAP	avconsol
ខ្មៅ	ណាវីន	Wfindv32	vsstat
ខ្មៅ	NeoWatch	សំឡេងរោទិ៍ក្នុងតំបន់	avsynmgr
ស៊ីហ្វីយ៉ាដមីន	NISSERV	ចាក់សោរ 2000	avcmd
Cfiaudit	នីសឹម	សង្គ្រោះ ៣២	avconfig
ស៊ីហ្វីណែត	នឹម	LUCOMSERVER	លីមីក្រាម
Cfinet32	ធម្មតា	avgcc	កាលវិភាគ
ក្រញ៉ាំ ៩៥	ណ័រតុន	avgcc	preupd
ក្រញ៉ាំ95cf	ដំឡើងកំណែ	avgamsvr	MsMpEng
អ្នកបោសសំអាត។	Nvc95	avgupsvc	MSASCui
អ្នកសម្អាត ៣	កន្លែងឈរជើង។	avgw	Avira.Systray
Defwatch	ប៉ាមីន	avgcc32
Dvp95	Pavcl	avgserv

• ការបំផ្លាញខ្លួនឯង
• កំពុងផ្ទុកទិន្នន័យពី manifest ធនធានដែលបានបញ្ជាក់

  

• ការចម្លងឯកសារនៅតាមផ្លូវ %Temp%tmpG[កាលបរិច្ឆេទ និងពេលវេលាបច្ចុប្បន្នគិតជាមិល្លីវិនាទី].tmp

  
  គួរឱ្យចាប់អារម្មណ៍ មុខងារដូចគ្នានេះមានវត្តមាននៅក្នុងមេរោគ AgentTesla ។

• មុខងាររបស់ពពួក Worm

  មេរោគទទួលបានបញ្ជីមេឌៀដែលអាចដកចេញបាន។ ច្បាប់ចម្លងនៃមេរោគត្រូវបានបង្កើតនៅក្នុង root នៃប្រព័ន្ធឯកសារមេឌៀដែលមានឈ្មោះ Sys.exe. Autorun ត្រូវបានអនុវត្តដោយប្រើឯកសារ autorun.inf.

  

ប្រវត្តិរូបអ្នកវាយប្រហារ

ក្នុងអំឡុងពេលនៃការវិភាគនៃមជ្ឈមណ្ឌលបញ្ជាវាអាចធ្វើទៅបានដើម្បីបង្កើតអ៊ីមែលនិងឈ្មោះហៅក្រៅរបស់អ្នកអភិវឌ្ឍន៍ - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder ។ បន្ទាប់មក យើងបានរកឃើញវីដេអូគួរឱ្យចាប់អារម្មណ៍មួយនៅលើ YouTube ដែលបង្ហាញពីការធ្វើការជាមួយអ្នកសាងសង់។

វាធ្វើឱ្យវាអាចស្វែងរកប៉ុស្តិ៍អ្នកអភិវឌ្ឍន៍ដើម។

វាច្បាស់ណាស់ថាគាត់មានបទពិសោធន៍ក្នុងការសរសេរកូដសម្ងាត់។ វាក៏មានតំណភ្ជាប់ទៅកាន់ទំព័រនៅលើបណ្តាញសង្គម ក៏ដូចជាឈ្មោះពិតរបស់អ្នកនិពន្ធផងដែរ។ គាត់បានប្រែក្លាយទៅជាអ្នកស្រុកអ៊ីរ៉ាក់។

នេះគឺជាអ្វីដែលអ្នកអភិវឌ្ឍន៍ 404 Keylogger សន្មត់ថាមើលទៅ។ រូបថតពីហ្វេសប៊ុកផ្ទាល់ខ្លួនរបស់គាត់។

CERT Group-IB បានប្រកាសពីការគំរាមកំហែងថ្មី - 404 Keylogger - មជ្ឈមណ្ឌលតាមដាន និងឆ្លើយតប XNUMX ម៉ោងសម្រាប់ការគំរាមកំហែងតាមអ៊ីនធឺណិត (SOC) នៅក្នុងប្រទេសបារ៉ែន។

ប្រភព: www.habr.com