рдкреНрд░реЛрд╣реЛрд╕реНрдЯрд░ > ╨С╨╗╨╛╨│ > рдкреНрд░рд╢рд╛рд╕рди > RATKing: рд░рд┐рдореЛрдЯ рдНрдХреНрд╕реЗрд╕ рдЯреНрд░реЛрдЬрдирд╕рд╣ рдирд╡реАрди рдореЛрд╣реАрдо

RATKing: рд░рд┐рдореЛрдЯ рдНрдХреНрд╕реЗрд╕ рдЯреНрд░реЛрдЬрдирд╕рд╣ рдирд╡реАрди рдореЛрд╣реАрдо

рдореЗ рдорд╣рд┐рдиреНрдпрд╛рдЪреНрдпрд╛ рд╢реЗрд╡рдЯреА, рдЖрдореНрд╣рд╛рд▓рд╛ рд░рд┐рдореЛрдЯ рдНрдХреНрд╕реЗрд╕ рдЯреНрд░реЛрдЬрди (RAT) рдорд╛рд▓рд╡реЗрдЕрд░-рдкреНрд░реЛрдЧреНрд░рд╛рдордЪреЗ рд╡рд┐рддрд░рдг рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рдПрдХ рдореЛрд╣реАрдо рд╕рд╛рдкрдбрд▓реА рдЬреА рдЖрдХреНрд░рдордгрдХрд░реНрддреНрдпрд╛рдВрдирд╛ рд╕рдВрдХреНрд░рдорд┐рдд рдкреНрд░рдгрд╛рд▓реА рджреВрд░рд╕реНрдердкрдгреЗ рдирд┐рдпрдВрддреНрд░рд┐рдд рдХрд░рдгреНрдпрд╛рд╕ рдЕрдиреБрдорддреА рджреЗрддреЗ.

рдЖрдореНрд╣реА рддрдкрд╛рд╕рд▓реЗрд▓рд╛ рдЧрдЯ рдпрд╛ рд╡рд╕реНрддреБрд╕реНрдерд┐рддреАрджреНрд╡рд╛рд░реЗ рдУрд│рдЦрд▓рд╛ рдЧреЗрд▓рд╛ рдХреА рддреНрдпрд╛рдиреЗ рд╕рдВрдХреНрд░рдордгрд╛рд╕рд╛рдареА рдХреЛрдгрддреЗрд╣реА рд╡рд┐рд╢рд┐рд╖реНрдЯ RAT рдХреБрдЯреБрдВрдм рдирд┐рд╡рдбрд▓реЗ рдирд╛рд╣реА. рдореЛрд╣рд┐рдореЗрддреАрд▓ рд╣рд▓реНрд▓реНрдпрд╛рдВрдордзреНрдпреЗ рдЕрдиреЗрдХ рдЯреНрд░реЛрдЬрди рдЖрдврд│реВрди рдЖрд▓реЗ (рдЬреЗ рд╕рд░реНрд╡ рдореЛрдареНрдпрд╛ рдкреНрд░рдорд╛рдгрд╛рд╡рд░ рдЙрдкрд▓рдмреНрдз рд╣реЛрддреЗ). рдпрд╛ рд╡реИрд╢рд┐рд╖реНрдЯреНрдпрд╛рд╕рд╣, рдЧрдЯрд╛рдиреЗ рдЖрдореНрд╣рд╛рд▓рд╛ рдЙрдВрджреАрд░ рд░рд╛рдЬрд╛рдЪреА рдЖрдард╡рдг рдХрд░реВрди рджрд┐рд▓реА - рдПрдХ рдкреМрд░рд╛рдгрд┐рдХ рдкреНрд░рд╛рдгреА рдЬреНрдпрд╛рдордзреНрдпреЗ рдЧреБрдВрдлрд▓реЗрд▓реНрдпрд╛ рд╢реЗрдкрдЯреА рдЕрд╕рд▓реЗрд▓реЗ рдЙрдВрджреАрд░ рдЕрд╕рддрд╛рдд.

RATKing: рд░рд┐рдореЛрдЯ рдНрдХреНрд╕реЗрд╕ рдЯреНрд░реЛрдЬрдирд╕рд╣ рдирд╡реАрди рдореЛрд╣реАрдо
рдореВрд│ рдореЛрдиреЛрдЧреНрд░рд╛рдл рдордзреВрди рдХреЗ.рдПрди. рд░реЙрд╕рд┐рдХреЛрд╡реНрд╣ рдпрд╛рдВрдиреА рдШреЗрддрд▓реЗ рдЖрд╣реЗ тАЬрдЙрдВрджреАрд░ рдЖрдгрд┐ рдЙрдВрджреАрд░, рд╕рд░реНрд╡рд╛рдд рдЖрд░реНрдерд┐рдХрджреГрд╖реНрдЯреНрдпрд╛ рдорд╣рддреНрддреНрд╡рд╛рдЪреЗтАЭ (1908)

рдпрд╛ рдкреНрд░рд╛рдгреНрдпрд╛рдЪреНрдпрд╛ рд╕рдиреНрдорд╛рдирд╛рд░реНрде, рдЖрдореНрд╣реА RATKing рд╡рд┐рдЪрд╛рд░рд╛рдд рдШреЗрддрд▓реЗрд▓реНрдпрд╛ рдЧрдЯрд╛рд▓рд╛ рдЖрдореНрд╣реА рдирд╛рд╡ рджрд┐рд▓реЗ. рдпрд╛ рдкреЛрд╕реНрдЯрдордзреНрдпреЗ, рдЖрдореНрд╣реА рд╣рд▓реНрд▓реЗрдЦреЛрд░рд╛рдВрдиреА рд╣рд▓реНрд▓рд╛ рдХрд╕рд╛ рдХреЗрд▓рд╛, рддреНрдпрд╛рдВрдиреА рдХреЛрдгрддреА рд╕рд╛рдзрдиреЗ рд╡рд╛рдкрд░рд▓реА рдпрд╛рдмрджреНрджрд▓ рддрдкрд╢реАрд▓рд╡рд╛рд░ рдорд╛рд╣рд┐рддреА рдШреЗрдК рдЖрдгрд┐ рдпрд╛ рдореЛрд╣рд┐рдореЗрдЪреНрдпрд╛ рд╢реНрд░реЗрдпрдмрджреНрджрд▓ рдЖрдордЪреЗ рд╡рд┐рдЪрд╛рд░ рджреЗрдЦреАрд▓ рд╢реЗрдЕрд░ рдХрд░реВ.

рд╣рд▓реНрд▓реНрдпрд╛рдЪреА рдкреНрд░рдЧрддреА

рдпрд╛ рдореЛрд╣рд┐рдореЗрддреАрд▓ рд╕рд░реНрд╡ рд╣рд▓реНрд▓реЗ рдЦрд╛рд▓реАрд▓ рдЕрд▓реНрдЧреЛрд░рд┐рджрдордиреБрд╕рд╛рд░ рдЭрд╛рд▓реЗ:

  1. рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рд▓рд╛ Google рдбреНрд░рд╛рдЗрд╡реНрд╣рдЪреНрдпрд╛ рд▓рд┐рдВрдХрд╕рд╣ рдлрд┐рд╢рд┐рдВрдЧ рдИрдореЗрд▓ рдкреНрд░рд╛рдкреНрдд рдЭрд╛рд▓рд╛.
  2. рд▓рд┐рдВрдХ рд╡рд╛рдкрд░реВрди, рдкреАрдбрд┐рддреЗрдиреЗ рдПрдХ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдбрд╛рдЙрдирд▓реЛрдб рдХреЗрд▓реА рдЬреНрдпрд╛рдиреЗ Windows рдиреЛрдВрджрдгреАрдордзреНрдпреЗ рдЕрдВрддрд┐рдо рдкреЗрд▓реЛрдб рд▓реЛрдб рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА DLL рд▓рд╛рдпрдмреНрд░рд░реА рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХреЗрд▓реА рдЖрдгрд┐ рддреА рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА PowerShell рд▓рд╛рдБрдЪ рдХреЗрд▓реЗ.
  3. рдбреАрдПрд▓рдПрд▓ рд▓рд╛рдпрдмреНрд░рд░реАрдиреЗ рдЕрдВрддрд┐рдо рдкреЗрд▓реЛрдб - рдЦрд░реЗрддрд░, рдЖрдХреНрд░рдордгрдХрд░реНрддреНрдпрд╛рдВрдиреА рд╡рд╛рдкрд░рд▓реЗрд▓реНрдпрд╛ RAT рдкреИрдХреА рдПрдХ - рд╕рд┐рд╕реНрдЯрдо рдкреНрд░рдХреНрд░рд┐рдпреЗрдд рдЗрдВрдЬреЗрдХреНрдЯ рдХреЗрд▓реЗ рдЖрдгрд┐ рд╕рдВрдХреНрд░рдорд┐рдд рдорд╢реАрдирдордзреНрдпреЗ рдкрд╛рдКрд▓ рдареЗрд╡рдгреНрдпрд╛рд╕рд╛рдареА рдСрдЯреЛрд░рдирдордзреНрдпреЗ VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯрдЪреА рдиреЛрдВрджрдгреА рдХреЗрд▓реА.
  4. рдЕрдВрддрд┐рдо рдкреЗрд▓реЛрдб рд╕рд┐рд╕реНрдЯрдо рдкреНрд░рдХреНрд░рд┐рдпреЗрдд рдЕрдВрдорд▓рд╛рдд рдЖрдгрд▓рд╛ рдЧреЗрд▓рд╛ рдЖрдгрд┐ рдЖрдХреНрд░рдордгрдХрд░реНрддреНрдпрд╛рд▓рд╛ рд╕рдВрдХреНрд░рдорд┐рдд рд╕рдВрдЧрдгрдХ рдирд┐рдпрдВрддреНрд░рд┐рдд рдХрд░рдгреНрдпрд╛рдЪреА рдХреНрд╖рдорддрд╛ рджрд┐рд▓реА.

рдпреЛрдЬрдирд╛рдмрджреНрдзрд░рд┐рддреНрдпрд╛ рддреЗ рдпрд╛рдкреНрд░рдорд╛рдгреЗ рджрд░реНрд╢рд╡рд┐рд▓реЗ рдЬрд╛рдК рд╢рдХрддреЗ:

RATKing: рд░рд┐рдореЛрдЯ рдНрдХреНрд╕реЗрд╕ рдЯреНрд░реЛрдЬрдирд╕рд╣ рдирд╡реАрди рдореЛрд╣реАрдо

рдкреБрдвреЗ, рдЖрдореНрд╣реА рдкрд╣рд┐рд▓реНрдпрд╛ рддреАрди рдЯрдкреНрдкреНрдпрд╛рдВрд╡рд░ рд▓рдХреНрд╖ рдХреЗрдВрджреНрд░рд┐рдд рдХрд░реВ, рдХрд╛рд░рдг рдЖрдореНрд╣рд╛рд▓рд╛ рдорд╛рд▓рд╡реЗрдЕрд░ рд╡рд┐рддрд░рдг рдпрдВрддреНрд░рдгреЗрдордзреНрдпреЗ рд░рд╕ рдЖрд╣реЗ. рдорд╛рд▓рд╡реЗрдЕрд░рдЪреНрдпрд╛ рдСрдкрд░реЗрд╢рдирдЪреНрдпрд╛ рдпрдВрддреНрд░рдгреЗрдЪреЗ рдЖрдореНрд╣реА рддрдкрд╢реАрд▓рд╡рд╛рд░ рд╡рд░реНрдгрди рдХрд░рдгрд╛рд░ рдирд╛рд╣реА. рддреЗ рдореЛрдареНрдпрд╛ рдкреНрд░рдорд╛рдгрд╛рд╡рд░ рдЙрдкрд▓рдмреНрдз рдЖрд╣реЗрдд - рдПрдХрддрд░ рд╡рд┐рд╢реЗрд╖ рдордВрдЪрд╛рдВрд╡рд░ рд╡рд┐рдХрд▓реЗ рдЬрд╛рддрд╛рдд, рдХрд┐рдВрд╡рд╛ рдЕрдЧрджреА рдореБрдХреНрдд рд╕реНрддреНрд░реЛрдд рдкреНрд░рдХрд▓реНрдк рдореНрд╣рдгреВрди рд╡рд┐рддрд░реАрдд рдХреЗрд▓реЗ рдЬрд╛рддрд╛рдд - рдЖрдгрд┐ рдореНрд╣рдгреВрди рддреЗ RATKing рдЧрдЯрд╛рд╕рд╛рдареА рдЕрджреНрд╡рд┐рддреАрдп рдирд╛рд╣реАрдд.

рд╣рд▓реНрд▓реНрдпрд╛рдЪреНрдпрд╛ рдЯрдкреНрдкреНрдпрд╛рдВрдЪреЗ рд╡рд┐рд╢реНрд▓реЗрд╖рдг

рд╕реНрдЯреЗрдЬ 1. рдлрд┐рд╢рд┐рдВрдЧ рдИрдореЗрд▓

рд╣рд▓реНрд▓реНрдпрд╛рдЪреА рд╕реБрд░реБрд╡рд╛рдд рдкреАрдбрд┐рддреЗрд▓рд╛ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рдкрддреНрд░ рдорд┐рд│рд╛рд▓реНрдпрд╛рдиреЗ рдЭрд╛рд▓реА (рд╣рд▓реНрд▓реЗрдЦреЛрд░рд╛рдВрдиреА рдордЬрдХреВрд░рд╛рд╕рд╣ рднрд┐рдиреНрди рдЯреЗрдореНрдкрд▓реЗрдЯ рд╡рд╛рдкрд░рд▓реЗ; рдЦрд╛рд▓реА рджрд┐рд▓реЗрд▓рд╛ рд╕реНрдХреНрд░реАрдирд╢реЙрдЯ рдПрдХ рдЙрджрд╛рд╣рд░рдг рджрд░реНрд╢рд╡рд┐рддреЛ). рд╕рдВрджреЗрд╢рд╛рдордзреНрдпреЗ рд╡реИрдз рднрд╛рдВрдбрд╛рд░рд╛рдЪреА рд▓рд┐рдВрдХ рд╣реЛрддреА drive.google.com, рдЬреНрдпрд╛рдиреЗ рдХрдерд┐рддрдкрдгреЗ PDF рджрд╕реНрддрдРрд╡рдЬ рдбрд╛рдЙрдирд▓реЛрдб рдкреГрд╖реНрдард╛рд╡рд░ рдиреЗрд▓реЗ.

RATKing: рд░рд┐рдореЛрдЯ рдНрдХреНрд╕реЗрд╕ рдЯреНрд░реЛрдЬрдирд╕рд╣ рдирд╡реАрди рдореЛрд╣реАрдо
рдлрд┐рд╢рд┐рдВрдЧ рдИрдореЗрд▓ рдЙрджрд╛рд╣рд░рдг

рддрдерд╛рдкрд┐, рдЦрд░рдВ рддрд░, рддреЗ рд▓реЛрдб рдХреЗрд▓реЗрд▓реЗ рдкреАрдбреАрдПрдл рджрд╕реНрддрдРрд╡рдЬ рдирд╡реНрд╣рддреЗ, рддрд░ рд╡реНрд╣реАрдмреАрдПрд╕ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рд╣реЛрддреЗ.

рд╡рд░реАрд▓ рд╕реНрдХреНрд░реАрдирд╢реЙрдЯрдордзреАрд▓ рдИрдореЗрд▓рдордзреАрд▓ рд▓рд┐рдВрдХрд╡рд░ рдХреНрд▓рд┐рдХ рдХреЗрд▓реНрдпрд╛рд╡рд░ рдирд╛рд╡рд╛рдЪреА рдлрд╛рдИрд▓ Cargo Flight Details.vbs. рдпрд╛ рдкреНрд░рдХрд░рдгрд╛рдд, рд╣рд▓реНрд▓реЗрдЦреЛрд░рд╛рдВрдиреА рдлрд╛рдИрд▓ рдХрд╛рдпрджреЗрд╢реАрд░ рдХрд╛рдЧрджрдкрддреНрд░ рдореНрд╣рдгреВрди рд▓рдкрд╡рдгреНрдпрд╛рдЪрд╛ рдкреНрд░рдпрддреНрди рджреЗрдЦреАрд▓ рдХреЗрд▓рд╛ рдирд╛рд╣реА.

рддреНрдпрд╛рдЪ рд╡реЗрд│реА, рдпрд╛ рдореЛрд╣рд┐рдореЗрдЪрд╛ рдПрдХ рднрд╛рдЧ рдореНрд╣рдгреВрди, рдЖрдореНрд╣реА рдирд╛рд╡рд╛рдЪреА рд▓рд┐рдкреА рд╢реЛрдзрд▓реА Cargo Trip Detail.pdf.vbs. рд╣реЗ рдЖрдзреАрдЪ рд╡реИрдз PDF рд╕рд╛рдареА рдкрд╛рд╕ рд╣реЛрдК рд╢рдХрддреЗ рдХрд╛рд░рдг рд╡рд┐рдВрдбреЛрдЬ рдбреАрдлреЙрд▓реНрдЯрдиреБрд╕рд╛рд░ рдлрд╛рдЗрд▓ рд╡рд┐рд╕реНрддрд╛рд░ рд▓рдкрд╡рддреЗ. рдЦрд░реЗ рдЖрд╣реЗ, рдпрд╛ рдкреНрд░рдХрд░рдгрд╛рдд, рд╡реНрд╣реАрдмреАрдПрд╕ рд╕реНрдХреНрд░рд┐рдкреНрдЯрд╢реА рд╕рдВрдмрдВрдзрд┐рдд рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рддреНрдпрд╛рдЪреНрдпрд╛ рдЪрд┐рдиреНрд╣рд╛рджреНрд╡рд╛рд░реЗ рд╕рдВрд╢рдп рдЕрдЬреВрдирд╣реА рдЬрд╛рдЧреГрдд рдХреЗрд▓рд╛ рдЬрд╛рдК рд╢рдХрддреЛ.

рдпрд╛ рдЯрдкреНрдкреНрдпрд╛рд╡рд░, рдмрд│реА рдлрд╕рд╡рдгреВрдХ рдУрд│рдЦреВ рд╢рдХрддреЛ: рдлрдХреНрдд рдПрдХрд╛ рд╕реЗрдХрдВрджрд╛рд╕рд╛рдареА рдбрд╛рдЙрдирд▓реЛрдб рдХреЗрд▓реЗрд▓реНрдпрд╛ рдлрд╛рдпрд▓реА рдЬрд╡рд│реВрди рдкрд╣рд╛. рддрдерд╛рдкрд┐, рдЕрд╢рд╛ рдлрд┐рд╢рд┐рдВрдЧ рдореЛрд╣рд┐рдорд╛рдВрдордзреНрдпреЗ, рдЖрдХреНрд░рдордгрдХрд░реНрддреЗ рд╕рд╣рд╕рд╛ рджреБрд░реНрд▓рдХреНрд╖рд┐рдд рдХрд┐рдВрд╡рд╛ рдШрд╛рдИрдШрд╛рдИрдиреЗ рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рд╡рд░ рдЕрд╡рд▓рдВрдмреВрди рдЕрд╕рддрд╛рдд.

рд╕реНрдЯреЗрдЬ 2. VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдСрдкрд░реЗрд╢рди

VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯ, рдЬреА рд╡рд╛рдкрд░рдХрд░реНрддрд╛ рдЕрдирд╡рдзрд╛рдирд╛рдиреЗ рдЙрдШрдбреВ рд╢рдХрддреЛ, рд╡рд┐рдВрдбреЛрдЬ рд░реЗрдЬрд┐рд╕реНрдЯреНрд░реАрдордзреНрдпреЗ DLL рд▓рд╛рдпрдмреНрд░рд░реАрдЪреА рдиреЛрдВрджрдгреА рдХреЗрд▓реА. рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдЕрд╕реНрдкрд╖реНрдЯ рд╣реЛрддреА: рддреНрдпрд╛рддреАрд▓ рдУрд│реА рдПрдХрд╛ рдЕрдирд┐рдпрдВрддреНрд░рд┐рдд рд╡рд░реНрдгрд╛рдиреЗ рд╡рд┐рднрдХреНрдд рдХреЗрд▓реЗрд▓реНрдпрд╛ рдмрд╛рдЗрдЯреНрд╕ рдореНрд╣рдгреВрди рд▓рд┐рд╣рд┐рд▓реНрдпрд╛ рд╣реЛрддреНрдпрд╛.

RATKing: рд░рд┐рдореЛрдЯ рдНрдХреНрд╕реЗрд╕ рдЯреНрд░реЛрдЬрдирд╕рд╣ рдирд╡реАрди рдореЛрд╣реАрдо
рдЕрд╕реНрдкрд╖реНрдЯ рд╕реНрдХреНрд░рд┐рдкреНрдЯрдЪреЗ рдЙрджрд╛рд╣рд░рдг

рдбрд┐рдУрдмреНрдлрд╕реНрдХреЗрд╢рди рдЕрд▓реНрдЧреЛрд░рд┐рджрдо рдЕрдЧрджреА рд╕реЛрдкреА рдЖрд╣реЗ: рдЕрд╕реНрдкрд╖реНрдЯ рд╕реНрдЯреНрд░рд┐рдВрдЧрдордзреВрди рдкреНрд░рддреНрдпреЗрдХ рддрд┐рд╕рд░рд╛ рд╡рд░реНрдг рд╡рдЧрд│рдгреНрдпрд╛рдд рдЖрд▓рд╛ рд╣реЛрддрд╛, рддреНрдпрд╛рдирдВрддрд░ рдирд┐рдХрд╛рд▓ рдореВрд│ рд╕реНрдЯреНрд░рд┐рдВрдЧрдордзреНрдпреЗ рдмреЗрд╕16 рд╡рд░реВрди рдбреАрдХреЛрдб рдХреЗрд▓рд╛ рдЧреЗрд▓рд╛. рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, рдореВрд▓реНрдп рдкрд╛рд╕реВрди 57Q53s63t72s69J70r74e2El53v68m65j6CH6Ct (рд╡рд░реАрд▓ рд╕реНрдХреНрд░реАрдирд╢реЙрдЯрдордзреНрдпреЗ рд╣рд╛рдпрд▓рд╛рдЗрдЯ рдХреЗрд▓реЗрд▓реЗ) рдкрд░рд┐рдгрд╛рдореА рдУрд│ рд╣реЛрддреА WScript.Shell.

рд╕реНрдЯреНрд░рд┐рдВрдЧреНрд╕ рдбрд┐рдСрдлрд╕реНрдХреЗрдЯ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА, рдЖрдореНрд╣реА рдкрд╛рдпрдерди рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░рд▓реЗ:

def decode_str(data_enc):   
    return binascii.unhexlify(''.join([data_enc[i:i+2] for i in range(0, len(data_enc), 3)]))

рдЦрд╛рд▓реА, 9-10 рдУрд│реАрдВрд╡рд░, рдЖрдореНрд╣реА рддреЗ рдореВрд▓реНрдп рд╣рд╛рдпрд▓рд╛рдЗрдЯ рдХрд░рддреЛ рдЬреНрдпрд╛рдЪреНрдпрд╛ рдбрд┐рдСрдлрд╕реНрдХреЗрд╢рдирдореБрд│реЗ рдбреАрдПрд▓рдПрд▓ рдлрд╛рдЗрд▓ рдмрдирддреЗ. рддреНрдпрд╛рдиреЗрдЪ рдкреЙрд╡рд░рд╢реЗрд▓ рд╡рд╛рдкрд░реВрди рдкреБрдврдЪреНрдпрд╛ рдЯрдкреНрдкреНрдпрд╛рд╡рд░ рд▓рд╛рдБрдЪ рдХреЗрд▓реЗ рд╣реЛрддреЗ.

RATKing: рд░рд┐рдореЛрдЯ рдНрдХреНрд╕реЗрд╕ рдЯреНрд░реЛрдЬрдирд╕рд╣ рдирд╡реАрди рдореЛрд╣реАрдо
рдЕрд╕реНрдкрд╖реНрдЯ DLL рд╕рд╣ рд╕реНрдЯреНрд░рд┐рдВрдЧ

VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯрдордзреАрд▓ рдкреНрд░рддреНрдпреЗрдХ рдлрдВрдХреНрд╢рди рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рдХреЗрд▓реЗ рдЧреЗрд▓реЗ рдХрд╛рд░рдг рд╕реНрдЯреНрд░рд┐рдВрдЧреНрд╕ рдбрд┐рдСрдлрд╕реНрдХреЗрдЯреЗрдб рд╣реЛрддреНрдпрд╛.

рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдЪрд╛рд▓рд╡рд▓реНрдпрд╛рдирдВрддрд░, рдлрдВрдХреНрд╢рди рдХреЙрд▓ рдХреЗрд▓реЗ рдЧреЗрд▓реЗ wscript.sleep - рд╣реЗ рд╕реНрдердЧрд┐рдд рдЕрдВрдорд▓рдмрдЬрд╛рд╡рдгреА рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рд╡рд╛рдкрд░рд▓реЗ рд╣реЛрддреЗ.

рдкреБрдвреЗ, рд╕реНрдХреНрд░рд┐рдкреНрдЯрдиреЗ рд╡рд┐рдВрдбреЛрдЬ рд░реЗрдЬрд┐рд╕реНрдЯреНрд░реАрд╕рд╣ рдХрд╛рд░реНрдп рдХреЗрд▓реЗ. рддреНрдпрд╛рд╕рд╛рдареА рддреНрдпрд╛рдВрдиреА WMI рддрдВрддреНрд░рдЬреНрдЮрд╛рдирд╛рдЪрд╛ рд╡рд╛рдкрд░ рдХреЗрд▓рд╛. рддреНрдпрд╛рдЪреНрдпрд╛ рдорджрддреАрдиреЗ, рдПрдХ рдЕрджреНрд╡рд┐рддреАрдп рдХреА рддрдпрд╛рд░ рдХреЗрд▓реА рдЧреЗрд▓реА рдЖрдгрд┐ рдПрдХреНрдЭрд┐рдХреНрдпреБрдЯреЗрдмрд▓ рдлрд╛рдЗрд▓рдЪрд╛ рдореБрдЦреНрдп рднрд╛рдЧ рддреНрдпрд╛рдЪреНрдпрд╛ рдкреЕрд░рд╛рдореАрдЯрд░рд╡рд░ рд▓рд┐рд╣рд┐рд▓рд╛ рдЧреЗрд▓рд╛. рдЦрд╛рд▓реАрд▓ рдЖрджреЗрд╢ рд╡рд╛рдкрд░реВрди WMI рджреНрд╡рд╛рд░реЗ рд░реЗрдЬрд┐рд╕реНрдЯреНрд░реАрдордзреНрдпреЗ рдкреНрд░рд╡реЗрд╢ рдХреЗрд▓рд╛ рдЧреЗрд▓рд╛:

GetObject(winmgmts {impersonationLevel=impersonate}!\.rootdefault:StdRegProv)

RATKing: рд░рд┐рдореЛрдЯ рдНрдХреНрд╕реЗрд╕ рдЯреНрд░реЛрдЬрдирд╕рд╣ рдирд╡реАрди рдореЛрд╣реАрдо
VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯрджреНрд╡рд╛рд░реЗ рдиреЛрдВрджрдгреАрдордзреНрдпреЗ рдХреЗрд▓реЗрд▓реА рдиреЛрдВрдж

рд╕реНрдЯреЗрдЬ 3. рдбреАрдПрд▓рдПрд▓ рд▓рд╛рдпрдмреНрд░рд░реАрдЪреЗ рдСрдкрд░реЗрд╢рди

рддрд┐рд╕рд▒реНрдпрд╛ рдЯрдкреНрдкреНрдпрд╛рд╡рд░, рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг DLL рдиреЗ рдЕрдВрддрд┐рдо рдкреЗрд▓реЛрдб рд▓реЛрдб рдХреЗрд▓реЗ, рддреЗ рд╕рд┐рд╕реНрдЯрдо рдкреНрд░рдХреНрд░рд┐рдпреЗрдд рдЗрдВрдЬреЗрдХреНрдЯ рдХреЗрд▓реЗ рдЖрдгрд┐ рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рдиреЗ рд▓реЙрдЧ рдЗрди рдХреЗрд▓реНрдпрд╛рд╡рд░ VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдСрдЯреЛрд╕реНрдЯрд╛рд░реНрдЯ рдЭрд╛рд▓реА рдпрд╛рдЪреА рдЦрд╛рддреНрд░реА рдХреЗрд▓реА.

PowerShell рджреНрд╡рд╛рд░реЗ рдЪрд╛рд▓рд╡рд╛

PowerShell рдордзреНрдпреЗ рдЦрд╛рд▓реАрд▓ рдЖрджреЗрд╢ рд╡рд╛рдкрд░реВрди DLL рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рдХреЗрд▓реЗ рдЧреЗрд▓реЗ:

[System.Threading.Thread]::GetDomain().Load((ItemProperty HKCU:///Software///<rnd_sub_key_name> ).<rnd_value_name>);
[GUyyvmzVhebFCw]::EhwwK('WScript.ScriptFullName', 'rWZlgEtiZr', 'WScript.ScriptName'),0

рдпрд╛ рдЖрджреЗрд╢рд╛рдиреЗ рдкреБрдвреАрд▓ рдЧреЛрд╖реНрдЯреА рдХреЗрд▓реНрдпрд╛:

  • рдирд╛рд╡рд╛рд╕рд╣ рдиреЛрдВрджрдгреА рдореВрд▓реНрдп рдбреЗрдЯрд╛ рдкреНрд░рд╛рдкреНрдд рдЭрд╛рд▓рд╛ rnd_value_name тАФ рд╣рд╛ рдбреЗрдЯрд╛ .Net рдкреНрд▓реЕрдЯрдлреЙрд░реНрдорд╡рд░ рд▓рд┐рд╣рд┐рд▓реЗрд▓реА DLL рдлрд╛рдЗрд▓ рд╣реЛрддреА;
  • рдкрд░рд┐рдгрд╛рдореА .Net рдореЙрдбреНрдпреВрд▓ рдкреНрд░реЛрд╕реЗрд╕ рдореЗрдорд░реАрдордзреНрдпреЗ рд▓реЛрдб рдХреЗрд▓реЗ powershell.exe рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░реВрди [System.Threading.Thread]::GetDomain().Load() (рд▓реЛрдб() рдлрдВрдХреНрд╢рдирдЪреЗ рддрдкрд╢реАрд▓рд╡рд╛рд░ рд╡рд░реНрдгрди рдорд╛рдпрдХреНрд░реЛрд╕реЙрдлреНрдЯ рд╡реЗрдмрд╕рд╛рдЗрдЯрд╡рд░ рдЙрдкрд▓рдмреНрдз рдЖрд╣реЗ);
  • рдХрд╛рд░реНрдп рдХреЗрд▓реЗ GUyyvmzVhebFCw]::EhwwK() - рдбреАрдПрд▓рдПрд▓ рд▓рд╛рдпрдмреНрд░рд░реАрдЪреА рдЕрдВрдорд▓рдмрдЬрд╛рд╡рдгреА рддреНрдпрд╛рдЪреНрдпрд╛рд╕рд╣ - рдкреЕрд░рд╛рдореАрдЯрд░реНрд╕рд╕рд╣ рд╕реБрд░реВ рдЭрд╛рд▓реА vbsScriptPath, xorKey, vbsScriptName. рдкреЕрд░рд╛рдореАрдЯрд░ xorKey рдЕрдВрддрд┐рдо рдкреЗрд▓реЛрдб рдЖрдгрд┐ рдкреЕрд░рд╛рдореАрдЯрд░реНрд╕ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рдХреА рд╕рдВрдЧреНрд░рд╣рд┐рдд рдХреЗрд▓реА vbsScriptPath ╨╕ vbsScriptName рдСрдЯреЛрд░рдирдордзреНрдпреЗ VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯрдЪреА рдиреЛрдВрджрдгреА рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рд╣рд╕реНрддрд╛рдВрддрд░рд┐рдд рдХреЗрд▓реЗ рдЧреЗрд▓реЗ.

DLL рд▓рд╛рдпрдмреНрд░рд░реАрдЪреЗ рд╡рд░реНрдгрди

рд╡рд┐рдШрдЯрд┐рдд рд╕реНрд╡рд░реВрдкрд╛рдд, рдмреВрдЯрд▓реЛрдбрд░ рдЕрд╕реЗ рджрд┐рд╕рд▓реЗ:

RATKing: рд░рд┐рдореЛрдЯ рдНрдХреНрд╕реЗрд╕ рдЯреНрд░реЛрдЬрдирд╕рд╣ рдирд╡реАрди рдореЛрд╣реАрдо
рд▓реЛрдбрд░ рд╡рд┐рдШрдЯрд┐рдд рд╕реНрд╡рд░реВрдкрд╛рдд (рдЬреНрдпрд╛ рдлрдВрдХреНрд╢рдирд╕рд╣ рдбреАрдПрд▓рдПрд▓ рд▓рд╛рдпрдмреНрд░рд░реАрдЪреА рдЕрдВрдорд▓рдмрдЬрд╛рд╡рдгреА рд╕реБрд░реВ рдЭрд╛рд▓реА рддреЗ рд▓рд╛рд▓ рд░рдВрдЧрд╛рдд рдЕрдзреЛрд░реЗрдЦрд┐рдд рдХреЗрд▓реЗ рдЖрд╣реЗ)

рдмреВрдЯрд▓реЛрдбрд░ .Net Reactor рд╕рдВрд░рдХреНрд╖рдХрд╛рджреНрд╡рд╛рд░реЗ рд╕рдВрд░рдХреНрд╖рд┐рдд рдЖрд╣реЗ. de4dot рдпреБрдЯрд┐рд▓рд┐рдЯреА рд╣реЗ рд╕рдВрд░рдХреНрд╖рдХ рдХрд╛рдвреВрди рдЯрд╛рдХрдгреНрдпрд╛рдЪреЗ рдЙрддреНрдХреГрд╖реНрдЯ рдХрд╛рд░реНрдп рдХрд░рддреЗ.

рд╣рд╛ рд▓реЛрдбрд░:

  • рд╕рд┐рд╕реНрдЯрдо рдкреНрд░рдХреНрд░рд┐рдпреЗрдд рдкреЗрд▓реЛрдб рдЗрдВрдЬреЗрдХреНрдЯ рдХреЗрд▓реЗ (рдпрд╛ рдЙрджрд╛рд╣рд░рдгрд╛рдд рддреЗ svchost.exe);
  • рдореА рдСрдЯреЛрд░рдирдордзреНрдпреЗ VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдЬреЛрдбрд▓реА рдЖрд╣реЗ.

рдкреЗрд▓реЛрдб рдЗрдВрдЬреЗрдХреНрд╢рди

рдкреЙрд╡рд░рд╢реЗрд▓ рд╕реНрдХреНрд░рд┐рдкреНрдЯрдиреЗ рдХреЙрд▓ рдХреЗрд▓реЗрд▓реЗ рдлрдВрдХреНрд╢рди рдкрд╛рд╣реВ.

RATKing: рд░рд┐рдореЛрдЯ рдНрдХреНрд╕реЗрд╕ рдЯреНрд░реЛрдЬрдирд╕рд╣ рдирд╡реАрди рдореЛрд╣реАрдо
рдкреЙрд╡рд░рд╢реЗрд▓ рд╕реНрдХреНрд░рд┐рдкреНрдЯрджреНрд╡рд╛рд░реЗ рдХреЙрд▓ рдХреЗрд▓реЗрд▓реЗ рдХрд╛рд░реНрдп

рдпрд╛ рдлрдВрдХреНрд╢рдирдиреЗ рдЦрд╛рд▓реАрд▓ рдХреНрд░рд┐рдпрд╛ рдХреЗрд▓реНрдпрд╛:

  • рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХреЗрд▓реЗрд▓реЗ рджреЛрди рдбреЗрдЯрд╛ рд╕рдВрдЪ (array ╨╕ array2 рд╕реНрдХреНрд░реАрдирд╢реЙрдЯрдордзреНрдпреЗ). рддреЗ рдореВрд│рдд: gzip рд╡рд╛рдкрд░реВрди рд╕рдВрдХреБрдЪрд┐рдд рдХреЗрд▓реЗ рдЧреЗрд▓реЗ рдЖрдгрд┐ рдХреА рд╕рд╣ XOR рдЕрд▓реНрдЧреЛрд░рд┐рджрдорд╕рд╣ рдПрдирдХреНрд░рд┐рдкреНрдЯ рдХреЗрд▓реЗ рдЧреЗрд▓реЗ xorKey;
  • рд╡рд╛рдЯрдк рдХреЗрд▓реЗрд▓реНрдпрд╛ рдореЗрдорд░реА рднрд╛рдЧрд╛рдд рдбреЗрдЯрд╛ рдХреЙрдкреА рдХреЗрд▓рд╛. рдкрд╛рд╕реВрди рдбреЗрдЯрд╛ array - рдореЗрдорд░реА рдХреНрд╖реЗрддреНрд░рд╛рдХрдбреЗ рдирд┐рд░реНрджреЗрд╢рд┐рдд рдХреЗрд▓реЗ рдЖрд╣реЗ intPtr (payload pointer рд╕реНрдХреНрд░реАрдирд╢реЙрдЯрдордзреНрдпреЗ); рдкрд╛рд╕реВрди рдбреЗрдЯрд╛ array2 - рдореЗрдорд░реА рдХреНрд╖реЗрддреНрд░рд╛рдХрдбреЗ рдирд┐рд░реНрджреЗрд╢рд┐рдд рдХреЗрд▓реЗ рдЖрд╣реЗ intPtr2 (shellcode pointer рд╕реНрдХреНрд░реАрдирд╢реЙрдЯрдордзреНрдпреЗ);
  • рдлрдВрдХреНрд╢рди рдореНрд╣рдгрддрд╛рдд CallWindowProcA (рд╡рд░реНрдгрди рд╣реЗ рдХрд╛рд░реНрдп Microsoft рд╡реЗрдмрд╕рд╛рдЗрдЯрд╡рд░ рдЙрдкрд▓рдмреНрдз рдЖрд╣реЗ) рдЦрд╛рд▓реАрд▓ рдкреЕрд░рд╛рдореАрдЯрд░реНрд╕рд╕рд╣ (рдкреЕрд░рд╛рдореАрдЯрд░реНрд╕рдЪреА рдирд╛рд╡реЗ рдЦрд╛рд▓реА рд╕реВрдЪреАрдмрджреНрдз рдЖрд╣реЗрдд, рд╕реНрдХреНрд░реАрдирд╢реЙрдЯрдордзреНрдпреЗ рддреЗ рддреНрдпрд╛рдЪ рдХреНрд░рдорд╛рдиреЗ рдЖрд╣реЗрдд, рдкрд░рдВрддреБ рдХрд╛рд░реНрдпрд░рдд рдореВрд▓реНрдпрд╛рдВрд╕рд╣):
    • lpPrevWndFunc - рдкрд╛рд╕реВрди рдбреЗрдЯрд╛рд╕рд╛рдареА рдкреЙрдЗрдВрдЯрд░ array2;
    • hWnd тАФ рдПрдХреНрдЭрд┐рдХреНрдпреБрдЯреЗрдмрд▓ рдлрд╛рдЗрд▓рдЪрд╛ рдорд╛рд░реНрдЧ рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рд╕реНрдЯреНрд░рд┐рдВрдЧрдХрдбреЗ рдкреЙрдЗрдВрдЯрд░ svchost.exe;
    • Msg - рдкрд╛рд╕реВрди рдбреЗрдЯрд╛рд╕рд╛рдареА рдкреЙрдЗрдВрдЯрд░ array;
    • wParamlParam тАФ рд╕рдВрджреЗрд╢ рдкреЕрд░рд╛рдореАрдЯрд░реНрд╕ (рдпрд╛ рдкреНрд░рдХрд░рдгрд╛рдд, рд╣реЗ рдкреЕрд░рд╛рдореАрдЯрд░реНрд╕ рд╡рд╛рдкрд░рд▓реЗ рдЧреЗрд▓реЗ рдирд╛рд╣реАрдд рдЖрдгрд┐ рддреНрдпрд╛рдВрдЪреА рдореВрд▓реНрдпреЗ 0 рд╣реЛрддреА);
  • рдПрдХ рдлрд╛рдЗрд▓ рддрдпрд╛рд░ рдХреЗрд▓реА %AppData%MicrosoftWindowsStart MenuProgramsStartup<name>.urlрдХреБрдареЗ <name> - рд╣реЗ рдкреЕрд░рд╛рдореАрдЯрд░рдЪреЗ рдкрд╣рд┐рд▓реЗ 4 рд╡рд░реНрдг рдЖрд╣реЗрдд vbsScriptName (рд╕реНрдХреНрд░реАрдирд╢реЙрдЯрдордзреНрдпреЗ, рдпрд╛ рдХреНрд░рд┐рдпреЗрд╕рд╣ рдХреЛрдбрдЪрд╛ рддреБрдХрдбрд╛ рдХрдорд╛рдВрдбрдиреЗ рд╕реБрд░реВ рд╣реЛрддреЛ File.Copy). рдЕрд╢рд╛рдкреНрд░рдХрд╛рд░реЗ, рдЬреЗрд╡реНрд╣рд╛ рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рдиреЗ рд▓реЙрдЧ рдЗрди рдХреЗрд▓реЗ рддреЗрд╡реНрд╣рд╛ рдорд╛рд▓рд╡реЗрдЕрд░рдиреЗ рдСрдЯреЛрд░рди рдлрд╛рдЗрд▓реНрд╕рдЪреНрдпрд╛ рд╕реВрдЪреАрдордзреНрдпреЗ URL рдлрд╛рдЗрд▓ рдЬреЛрдбрд▓реА рдЖрдгрд┐ рддреНрдпрд╛рдореБрд│реЗ рд╕рдВрдХреНрд░рдорд┐рдд рд╕рдВрдЧрдгрдХрд╛рд╢реА рд╕рдВрд▓рдЧреНрди рдЭрд╛рд▓рд╛. URL рдлрд╛рдЗрд▓рдордзреНрдпреЗ рд╕реНрдХреНрд░рд┐рдкреНрдЯрдЪрд╛ рджреБрд╡рд╛ рдЖрд╣реЗ:

[InternetShortcut]
URL = file : ///<vbsScriptPath>

рдЗрдВрдЬреЗрдХреНрд╢рди рдХрд╕реЗ рдХреЗрд▓реЗ рдЧреЗрд▓реЗ рд╣реЗ рд╕рдордЬреВрди рдШреЗрдгреНрдпрд╛рд╕рд╛рдареА, рдЖрдореНрд╣реА рдбреЗрдЯрд╛ рдЕреЕрд░реЗ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдХреЗрд▓реЗ array ╨╕ array2. рд╣реЗ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рдЖрдореНрд╣реА рдЦрд╛рд▓реАрд▓ рдкрд╛рдпрдерди рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░рд▓реЗ:

def decrypt(data, key):
    return gzip.decompress(
        bytearray([data[i] ^ key[i % len(key)] for i in range(len(data))])[4:])

рдкрд░рд┐рдгрд╛рдореА, рдЖрдореНрд╣рд╛рд▓рд╛ рдЖрдврд│рд▓реЗ рдХреА:

  • array рдкреАрдИ рдлрд╛рдЗрд▓ рд╣реЛрддреА - рд╣рд╛ рдЕрдВрддрд┐рдо рдкреЗрд▓реЛрдб рдЖрд╣реЗ;
  • array2 рдЗрдВрдЬреЗрдХреНрд╢рди рдкрд╛рд░ рдкрд╛рдбрдгреНрдпрд╛рд╕рд╛рдареА рд╢реЗрд▓рдХреЛрдб рдЖрд╡рд╢реНрдпрдХ рд╣реЛрддрд╛.

рдЕреЕрд░реЗрдордзреВрди рд╢реЗрд▓рдХреЛрдб array2 рдлрдВрдХреНрд╢рди рд╡реНрд╣реЕрд▓реНрдпреВ рдореНрд╣рдгреВрди рдкрд╛рд╕ рдХреЗрд▓реЗ lpPrevWndFunc рдлрдВрдХреНрд╢рди рдордзреНрдпреЗ CallWindowProcA. lpPrevWndFunc тАФ рдХреЙрд▓рдмреЕрдХ рдлрдВрдХреНрд╢рди, рддреНрдпрд╛рдЪрд╛ рдкреНрд░реЛрдЯреЛрдЯрд╛рдЗрдк рдЕрд╕реЗ рджрд┐рд╕рддреЗ:

LRESULT WndFunc(
  HWND    hWnd,
  UINT    Msg,
  WPARAM  wParam,
  LPARAM  lParam
);

рддрд░ рдЬреЗрд╡реНрд╣рд╛ рддреБрдореНрд╣реА рдлрдВрдХреНрд╢рди рд░рди рдХрд░рддрд╛ CallWindowProcA рдкреЕрд░рд╛рдореАрдЯрд░реНрд╕рд╕рд╣ hWnd, Msg, wParam, lParam рдЕреЕрд░реЗрдордзреАрд▓ рд╢реЗрд▓рдХреЛрдб рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рдХреЗрд▓рд╛ рдЬрд╛рддреЛ array2 рдпреБрдХреНрддрд┐рд╡рд╛рджрд╛рдВрд╕рд╣ hWnd ╨╕ Msg. hWnd рдПрдХреНрдЭрд┐рдХреНрдпреБрдЯреЗрдмрд▓ рдлрд╛рдЗрд▓рдЪрд╛ рдорд╛рд░реНрдЧ рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рд╕реНрдЯреНрд░рд┐рдВрдЧрдЪрд╛ рдкреЙрдЗрдВрдЯрд░ рдЖрд╣реЗ svchost.exeрдЖрдгрд┐ Msg - рдЕрдВрддрд┐рдо рдкреЗрд▓реЛрдбрд╕рд╛рдареА рдкреЙрдЗрдВрдЯрд░.

рд╢реЗрд▓рдХреЛрдбрд▓рд╛ рдлрдВрдХреНрд╢рди рдЕреЕрдбреНрд░реЗрд╕ рдХрдбреВрди рдкреНрд░рд╛рдкреНрдд рдЭрд╛рд▓реЗ kernel32.dll ╨╕ ntdll32.dll рддреНрдпрд╛рдВрдЪреНрдпрд╛ рдирд╛рд╡рд╛рдВрдЪреНрдпрд╛ рд╣реЕрд╢ рдореВрд▓реНрдпрд╛рдВрд╡рд░ рдЖрдзрд╛рд░рд┐рдд рдЖрдгрд┐ рдЕрдВрддрд┐рдо рдкреЗрд▓реЛрдб рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдореЗрдорд░реАрдордзреНрдпреЗ рдЗрдВрдЬреЗрдХреНрдЯ рдХреЗрд▓реЗ svchost.exeрдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╣реЛрд▓реЛрдЗрдВрдЧ рддрдВрддреНрд░ рд╡рд╛рдкрд░рдгреЗ (рдЖрдкрдг рдпрд╛рдмрджреНрджрд▓ рдЕрдзрд┐рдХ рд╡рд╛рдЪреВ рд╢рдХрддрд╛ рд▓реЗрдЦ). рд╢реЗрд▓рдХреЛрдб рдЗрдВрдЬреЗрдХреНрдЯ рдХрд░рддрд╛рдирд╛:

  • рдПрдХ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рддрдпрд╛рд░ рдХреЗрд▓реА svchost.exe рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░реВрди рдирд┐рд▓рдВрдмрд┐рдд рд╕реНрдерд┐рддреАрдд CreateProcessW;
  • рдирдВрддрд░ рдкреНрд░рдХреНрд░рд┐рдпреЗрдЪреНрдпрд╛ рдЕреЕрдбреНрд░реЗрд╕ рд╕реНрдкреЗрд╕рдордзреНрдпреЗ рд╡рд┐рднрд╛рдЧрд╛рдЪреЗ рдкреНрд░рджрд░реНрд╢рди рд▓рдкрд╡рд▓реЗ svchost.exe рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░реВрди NtUnmapViewOfSection. рдЕрд╢рд╛ рдкреНрд░рдХрд╛рд░реЗ, рдХрд╛рд░реНрдпрдХреНрд░рдорд╛рдиреЗ рдореВрд│ рдкреНрд░рдХреНрд░рд┐рдпреЗрдЪреА рд╕реНрдореГрддреА рдореБрдХреНрдд рдХреЗрд▓реА svchost.exeрдирдВрддрд░ рдпрд╛ рдкрддреНрддреНрдпрд╛рд╡рд░ рдкреЗрд▓реЛрдбрд╕рд╛рдареА рдореЗрдорд░реА рд╡рд╛рдЯрдк рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА;
  • рдкреНрд░реЛрд╕реЗрд╕ рдЕреЕрдбреНрд░реЗрд╕ рд╕реНрдкреЗрд╕рдордзреНрдпреЗ рдкреЗрд▓реЛрдбрд╕рд╛рдареА рд╡рд╛рдЯрдк рдХреЗрд▓реЗрд▓реА рдореЗрдорд░реА svchost.exe рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░реВрди VirtualAllocEx;

RATKing: рд░рд┐рдореЛрдЯ рдНрдХреНрд╕реЗрд╕ рдЯреНрд░реЛрдЬрдирд╕рд╣ рдирд╡реАрди рдореЛрд╣реАрдо
рдЗрдВрдЬреЗрдХреНрд╢рди рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕реБрд░реВ

  • рдкреЗрд▓реЛрдбрдЪреА рд╕рд╛рдордЧреНрд░реА рдкреНрд░реЛрд╕реЗрд╕ рдЕреЕрдбреНрд░реЗрд╕ рд╕реНрдкреЗрд╕рдордзреНрдпреЗ рд▓рд┐рд╣рд┐рд▓реА svchost.exe рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░реВрди WriteProcessMemory (рдЦрд╛рд▓реАрд▓ рд╕реНрдХреНрд░реАрдирд╢реЙрдЯрдкреНрд░рдорд╛рдгреЗ);
  • рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдкреБрдиреНрд╣рд╛ рд╕реБрд░реВ рдХреЗрд▓реА svchost.exe рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░реВрди ResumeThread.

RATKing: рд░рд┐рдореЛрдЯ рдНрдХреНрд╕реЗрд╕ рдЯреНрд░реЛрдЬрдирд╕рд╣ рдирд╡реАрди рдореЛрд╣реАрдо
рдЗрдВрдЬреЗрдХреНрд╢рди рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдкреВрд░реНрдг рдХрд░рдгреЗ

рдбрд╛рдЙрдирд▓реЛрдб рдХрд░рдгреНрдпрд╛рдпреЛрдЧреНрдп рдорд╛рд▓рд╡реЗрдЕрд░

рд╡рд░реНрдгрди рдХреЗрд▓реЗрд▓реНрдпрд╛ рдХреНрд░рд┐рдпрд╛рдВрдЪреНрдпрд╛ рдкрд░рд┐рдгрд╛рдореА, рд╕рдВрдХреНрд░рдорд┐рдд рд╕рд┐рд╕реНрдЯрдорд╡рд░ рдЕрдиреЗрдХ RAT-рд╢реНрд░реЗрдгреА рдорд╛рд▓рд╡реЗрдЕрд░ рд╕реНрдерд╛рдкрд┐рдд рдХреЗрд▓реЗ рдЧреЗрд▓реЗ. рдЦрд╛рд▓реАрд▓ рддрдХреНрддреНрдпрд╛рдордзреНрдпреЗ рд╣рд▓реНрд▓реНрдпрд╛рдд рд╡рд╛рдкрд░рд▓реЗрд▓реНрдпрд╛ рдорд╛рд▓рд╡реЗрдЕрд░рдЪреА рд╕реВрдЪреА рджрд┐рд▓реА рдЖрд╣реЗ, рдЬреНрдпрд╛рдЪреЗ рд╢реНрд░реЗрдп рдЖрдореНрд╣реА рдЖрдХреНрд░рдордгрдХрд░реНрддреНрдпрд╛рдВрдЪреНрдпрд╛ рдПрдХрд╛ рдЧрдЯрд╛рд▓рд╛ рджреЗрдК рд╢рдХрддреЛ, рдХрд╛рд░рдг рдирдореБрдиреЗ рд╕рдорд╛рди рдХрдорд╛рдВрдб рдЖрдгрд┐ рдХрдВрдЯреНрд░реЛрд▓ рд╕рд░реНрд╡реНрд╣рд░рдордзреНрдпреЗ рдкреНрд░рд╡реЗрд╢ рдХрд░рддрд╛рдд.

рдорд╛рд▓рд╡реЗрдЕрд░рдЪреЗ рдирд╛рд╡

рдкреНрд░рдердо рдкрд╛рд╣рд┐рд▓реЗ

SHA-256

рд╕реА рдЖрдгрд┐ рд╕реА

рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдЬреНрдпрд╛рдордзреНрдпреЗ рдЗрдВрдЬреЗрдХреНрд╢рди рдЪрд╛рд▓рддреЗ

рдбрд╛рд░реНрдХрдЯреНрд░реЕрдХ

16-04-2020

ea64fe672c953adc19553ea3b9118ce4ee88a14d92fc7e75aa04972848472702

kimjoy007.dyndns[.]org:2017

svchost

рд▓рдВрдмрди

24-04-2020

b4ecd8dbbceaadd482f1b23b712bcddc5464bccaac11fe78ea5fd0ba932a4043

kimjoy007.dyndns[.]org:2019

svchost

рдпреБрджреНрдз рдХреНрд╖реЗрддреНрд░

18-05-2020

3786324ce3f8c1ea3784e5389f84234f81828658b22b8a502b7d48866f5aa3d3

kimjoy007.dyndns[.]org:9933

svchost

рдиреЗрдЯрд╡рд╛рдпрд░

20-05-2020

6dac218f741b022f5cad3b5ee01dbda80693f7045b42a0c70335d8a729002f2d

kimjoy007.dyndns[.]org:2000

svchost

рд╕рдорд╛рди рдирд┐рдпрдВрддреНрд░рдг рд╕рд░реНрд╡реНрд╣рд░рд╕рд╣ рд╡рд┐рддрд░рд┐рдд рдорд╛рд▓рд╡реЗрдЕрд░рдЪреА рдЙрджрд╛рд╣рд░рдгреЗ

рдпреЗрдереЗ рджреЛрди рдЧреЛрд╖реНрдЯреА рд▓рдХреНрд╖рд╛рдд рдШреЗрдгреНрдпрд╛рдЬреЛрдЧреНрдпрд╛ рдЖрд╣реЗрдд.

рдкреНрд░рдердо, рд╣рд▓реНрд▓реЗрдЦреЛрд░рд╛рдВрдиреА рдПрдХрд╛рдЪ рд╡реЗрд│реА рдЕрдиреЗрдХ рднрд┐рдиреНрди RAT рдХреБрдЯреБрдВрдмрд╛рдВрдЪрд╛ рд╡рд╛рдкрд░ рдХреЗрд▓рд╛ рд╣реА рд╡рд╕реНрддреБрд╕реНрдерд┐рддреА. рд╣реЗ рд╡рд░реНрддрди рд╕реБрдкреНрд░рд╕рд┐рджреНрдз рд╕рд╛рдпрдмрд░ рдЧрдЯрд╛рдВрд╕рд╛рдареА рд╡реИрд╢рд┐рд╖реНрдЯреНрдпрдкреВрд░реНрдг рдирд╛рд╣реА, рдЬреЗ рд╕рд╣рд╕рд╛ рддреНрдпрд╛рдВрдирд╛ рдкрд░рд┐рдЪрд┐рдд рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рд╕рд╛рдзрдирд╛рдВрдЪрд╛ рдЕрдВрджрд╛рдЬреЗ рд╕рдорд╛рди рд╕рдВрдЪ рд╡рд╛рдкрд░рддрд╛рдд.

рджреБрд╕рд░реЗ рдореНрд╣рдгрдЬреЗ, RATKing рдиреЗ рдорд╛рд▓рд╡реЗрдЕрд░ рд╡рд╛рдкрд░рд▓реЗ рдЬреЗ рдПрдХрддрд░ рд╡рд┐рд╢реЗрд╖ рдордВрдЪрд╛рдВрд╡рд░ рдХрдореА рдХрд┐рдорддреАрдд рд╡рд┐рдХрд▓реЗ рдЬрд╛рддреЗ рдХрд┐рдВрд╡рд╛ рдЕрдЧрджреА рдУрдкрди рд╕реЛрд░реНрд╕ рдкреНрд░реЛрдЬреЗрдХреНрдЯ рдЖрд╣реЗ.

рдореЛрд╣рд┐рдореЗрдд рд╡рд╛рдкрд░рд▓реЗрд▓реНрдпрд╛ рдорд╛рд▓рд╡реЗрдЕрд░рдЪреА рдЕрдзрд┐рдХ рд╕рдВрдкреВрд░реНрдг рдпрд╛рджреАтАФрдПрдХрд╛ рдорд╣рддреНрддреНрд╡рд╛рдЪреНрдпрд╛ рдЪреЗрддрд╛рд╡рдгреАрд╕рд╣тАФрд▓реЗрдЦрд╛рдЪреНрдпрд╛ рд╢реЗрд╡рдЯреА рджрд┐рд▓реЗрд▓реА рдЖрд╣реЗ.

рдЧрдЯрд╛рдмрджреНрджрд▓

рдЖрдореНрд╣реА рд╡рд░реНрдгрди рдХреЗрд▓реЗрд▓реНрдпрд╛ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рдореЛрд╣рд┐рдореЗрдЪреЗ рд╢реНрд░реЗрдп рдХреЛрдгрддреНрдпрд╛рд╣реА рдЬреНрдЮрд╛рдд рд╣рд▓реНрд▓реЗрдЦреЛрд░рд╛рдВрдирд╛ рджреЗрдК рд╢рдХрдд рдирд╛рд╣реА. рдЖрддреНрддрд╛рд╕рд╛рдареА, рдЖрдордЪрд╛ рд╡рд┐рд╢реНрд╡рд╛рд╕ рдЖрд╣реЗ рдХреА рд╣реЗ рд╣рд▓реНрд▓реЗ рдореВрд▓рднреВрддрдкрдгреЗ рдирд╡реАрди рдЧрдЯрд╛рдиреЗ рдХреЗрд▓реЗ рд╣реЛрддреЗ. рдЖрдореНрд╣реА рд╕реБрд░реБрд╡рд╛рддреАрд▓рд╛ рд▓рд┐рд╣рд┐рд▓реНрдпрд╛рдкреНрд░рдорд╛рдгреЗ, рдЖрдореНрд╣реА рддреНрдпрд╛рд▓рд╛ RATKing рдореНрд╣рдгрддреЛ.

VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯ рддрдпрд╛рд░ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА, рдЧрдЯрд╛рдиреЗ рдХрджрд╛рдЪрд┐рдд рдпреБрдЯрд┐рд▓рд┐рдЯреА рд╕рд╛рд░рдЦреЗ рд╕рд╛рдзрди рд╡рд╛рдкрд░рд▓реЗ рдЕрд╕реЗрд▓ рд╡реНрд╣реАрдмреАрдПрд╕-рдХреНрд░рд┐рдкреНрдЯрд░ рд╡рд┐рдХрд╕рдХрд╛рдХрдбреВрди NYAN-x-CAT. рд╣реЗ рд╕реНрдХреНрд░рд┐рдкреНрдЯрдЪреНрдпрд╛ рд╕рдорд╛рдирддреЗрджреНрд╡рд╛рд░реЗ рд╕реВрдЪрд┐рдд рдХреЗрд▓реЗ рдЬрд╛рддреЗ рдЬреЗ рд╣рд╛ рдкреНрд░реЛрдЧреНрд░рд╛рдо рдЖрдХреНрд░рдордгрдХрд░реНрддреНрдпрд╛рдВрдЪреНрдпрд╛ рд╕реНрдХреНрд░рд┐рдкреНрдЯрд╕рд╣ рддрдпрд╛рд░ рдХрд░рддреЛ. рд╡рд┐рд╢реЗрд╖рддрдГ, рддреЗ рджреЛрдиреНрд╣реА:

  • рдлрдВрдХреНрд╢рди рд╡рд╛рдкрд░реВрди рд╡рд┐рд▓рдВрдмрд┐рдд рдЕрдВрдорд▓рдмрдЬрд╛рд╡рдгреА рдХрд░рд╛ Sleep;
  • WMI рд╡рд╛рдкрд░рд╛;
  • рдПрдХреНрдЭрд┐рдХреНрдпреБрдЯреЗрдмрд▓ рдлрд╛рдЗрд▓рдЪреНрдпрд╛ рдореБрдЦреНрдп рднрд╛рдЧрд╛рдЪреА рдиреЛрдВрджрдгреА рдХреА рдкреЕрд░рд╛рдореАрдЯрд░ рдореНрд╣рдгреВрди рдиреЛрдВрджрдгреА рдХрд░рд╛;
  • рдкреЙрд╡рд░рд╢реЗрд▓ рд╡рд╛рдкрд░реВрди рд╣реА рдлрд╛рдЗрд▓ рд╕реНрд╡рддрдГрдЪреНрдпрд╛ рдЕреЕрдбреНрд░реЗрд╕ рд╕реНрдкреЗрд╕рдордзреНрдпреЗ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рдХрд░рд╛.

рд╕реНрдкрд╖реНрдЯрддреЗрд╕рд╛рдареА, рд░реЗрдЬрд┐рд╕реНрдЯреНрд░реАрдордзреВрди рдлрд╛рдЗрд▓ рдЪрд╛рд▓рд╡рдгреНрдпрд╛рд╕рд╛рдареА рдкреЙрд╡рд░рд╢реЗрд▓ рдХрдорд╛рдВрдбрдЪреА рддреБрд▓рдирд╛ рдХрд░рд╛, рдЬреА VBS-Crypter рд╡рд╛рдкрд░реВрди рддрдпрд╛рд░ рдХреЗрд▓реЗрд▓реНрдпрд╛ рд╕реНрдХреНрд░рд┐рдкреНрдЯрджреНрд╡рд╛рд░реЗ рд╡рд╛рдкрд░рд▓реА рдЬрд╛рддреЗ:

((Get-ItemPropertyHKCU:SoftwareNYANxCAT).NYANxCAT);$text=-join$text[-1..-$text.Length];[AppDomain]::CurrentDomain.Load([Convert]::FromBase64String($text)).EntryPoint.Invoke($Null,$Null);

рд╣рд▓реНрд▓реЗрдЦреЛрд░ рд╕реНрдХреНрд░рд┐рдкреНрдЯрдиреЗ рд╡рд╛рдкрд░рд▓реЗрд▓реНрдпрд╛ рд╕рдорд╛рди рдХрдорд╛рдВрдбрд╕рд╣:

[System.Threading.Thread]::GetDomain().Load((ItemProperty HKCU:///Software///<rnd_sub_key_name> ).<rnd_value_name>);
[GUyyvmzVhebFCw]::EhwwK('WScript.ScriptFullName', 'rWZlgEtiZr', 'WScript.ScriptName'),0

рд▓рдХреНрд╖рд╛рдд рдШреНрдпрд╛ рдХреА рд╣рд▓реНрд▓реЗрдЦреЛрд░рд╛рдВрдиреА рдкреЗрд▓реЛрдбрдкреИрдХреА рдПрдХ рдореНрд╣рдгреВрди NYAN-x-CAT рдордзреАрд▓ рджреБрд╕рд░реА рдЙрдкрдпреБрдХреНрддрддрд╛ рд╡рд╛рдкрд░рд▓реА - LimerAT.

C&C рд╕рд░реНрд╡реНрд╣рд░рдЪреЗ рдкрддреНрддреЗ RATKing рдЪреЗ рдЖрдгрдЦреА рдПрдХ рд╡рд┐рд╢рд┐рд╖реНрдЯ рд╡реИрд╢рд┐рд╖реНрдЯреНрдп рджрд░реНрд╢рд╡рддрд╛рдд: рдЧрдЯ рдбрд╛рдпрдиреЕрдорд┐рдХ DNS рд╕реЗрд╡рд╛рдВрдирд╛ рдкреНрд░рд╛рдзрд╛рдиреНрдп рджреЗрддреЛ (IoC рдЯреЗрдмрд▓рдордзреАрд▓ C&C рдЪреА рд╕реВрдЪреА рдкрд╣рд╛).

IoC

рдЦрд╛рд▓реАрд▓ рд╕рд╛рд░рдгреА VBS рд╕реНрдХреНрд░рд┐рдкреНрдЯрдЪреА рд╕рдВрдкреВрд░реНрдг рдпрд╛рджреА рдкреНрд░рджрд╛рди рдХрд░рддреЗ рдЬреНрдпрд╛рдЪреЗ рдмрд╣реБрдзрд╛ рд╡рд░реНрдгрди рдХреЗрд▓реЗрд▓реНрдпрд╛ рдореЛрд╣рд┐рдореЗрдЪреЗ рд╢реНрд░реЗрдп рджрд┐рд▓реЗ рдЬрд╛рдК рд╢рдХрддреЗ. рдпрд╛ рд╕рд░реНрд╡ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рд╕рдорд╛рди рдЖрд╣реЗрдд рдЖрдгрд┐ рдХреНрд░рд┐рдпрд╛рдВрдЪрд╛ рдЕрдВрджрд╛рдЬреЗ рд╕рдорд╛рди рдХреНрд░рдо рдХрд░рддрд╛рдд. рддреЗ рд╕рд░реНрд╡ рд╡рд┐рд╢реНрд╡рд╕рдиреАрдп Windows рдкреНрд░рдХреНрд░рд┐рдпреЗрдордзреНрдпреЗ RAT рд╡рд░реНрдЧ рдорд╛рд▓рд╡реЗрдЕрд░ рдЗрдВрдЬреЗрдХреНрдЯ рдХрд░рддрд╛рдд. рдпрд╛ рд╕рд░реНрд╡рд╛рдВрдХрдбреЗ рдбрд╛рдпрдиреЕрдорд┐рдХ DNS рд╕реЗрд╡рд╛ рд╡рд╛рдкрд░реВрди C&C рдкрддреНрддреЗ рдиреЛрдВрджрдгреАрдХреГрдд рдЖрд╣реЗрдд.

рддрдерд╛рдкрд┐, рд╕рдорд╛рди C&C рдкрддреНрддреНрдпрд╛рдВрд╕рд╣ (рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, kimjoy007.dyndns.org) рдирдореБрдиреНрдпрд╛рдВрдЪрд╛ рдЕрдкрд╡рд╛рдж рд╡рдЧрд│рддрд╛, рдпрд╛ рд╕рд░реНрд╡ рд╕реНрдХреНрд░рд┐рдкреНрдЯреНрд╕ рд╕рдорд╛рди рдЖрдХреНрд░рдордгрдХрд░реНрддреНрдпрд╛рдВрдиреА рд╡рд┐рддрд░рд┐рдд рдХреЗрд▓реНрдпрд╛рдЪрд╛ рджрд╛рд╡рд╛ рдЖрдореНрд╣реА рдХрд░реВ рд╢рдХрдд рдирд╛рд╣реА.

рдорд╛рд▓рд╡реЗрдЕрд░рдЪреЗ рдирд╛рд╡

SHA-256

рд╕реА рдЖрдгрд┐ рд╕реА

рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдЬреНрдпрд╛рдордзреНрдпреЗ рдЗрдВрдЬреЗрдХреНрд╢рди рдЪрд╛рд▓рддреЗ

рд▓рдВрдмрди

b4ecd8dbbceaadd482f1b23b712bcddc5464bccaac11fe78ea5fd0ba932a4043

kimjoy007.dyndns.org

svchost

00edb8200dfeee3bdd0086c5e8e07c6056d322df913679a9f22a2b00b836fd72

hope.doomdns.org

svchost

504cbae901c4b3987aa9ba458a230944cb8bd96bbf778ceb54c773b781346146

kimjoy007.dyndns.org

svchost

1487017e087b75ad930baa8b017e8388d1e99c75d26b5d1deec8b80e9333f189

kimjoy007.dyndns.org

svchost

c4160ec3c8ad01539f1c16fb35ed9c8c5a53a8fda8877f0d5e044241ea805891

franco20.dvrdns.org

svchost

515249d6813bb2dde1723d35ee8eb6eeb8775014ca629ede017c3d83a77634ce

kimjoy007.dyndns.org

svchost

1b70f6fee760bcfe0c457f0a85ca451ed66e61f0e340d830f382c5d2f7ab803f

franco20.dvrdns.org

svchost

b2bdffa5853f29c881d7d9bff91b640bc1c90e996f85406be3b36b2500f61aa1

hope.doomdns.org

svchost

c9745a8f33b3841fe7bfafd21ad4678d46fe6ea6125a8fedfcd2d5aee13f1601

kimjoy007.dyndns.org

svchost

1dfc66968527fbd4c0df2ea34c577a7ce7a2ba9b54ba00be62120cc88035fa65

franco20.dvrdns.org

svchost

c6c05f21e16e488eed3001d0d9dd9c49366779559ad77fcd233de15b1773c981

kimjoy007.dyndns.org

рд╕реАрдПрдордбреА

3b785cdcd69a96902ee62499c25138a70e81f14b6b989a2f81d82239a19a3aed

hope.doomdns.org

svchost

4d71ceb9d6c53ac356c0f5bdfd1a5b28981061be87e38e077ee3a419e4c476f9

2004para.ddns.net

svchost

00185cc085f284ece264e3263c7771073a65783c250c5fd9afc7a85ed94acc77

hope.doomdns.org

svchost

0342107c0d2a069100e87ef5415e90fd86b1b1b1c975d0eb04ab1489e198fc78

franco20.dvrdns.org

svchost

de33b7a7b059599dc62337f92ceba644ac7b09f60d06324ecf6177fff06b8d10

kimjoy007.dyndns.org

svchost

80a8114d63606e225e620c64ad8e28c9996caaa9a9e87dd602c8f920c2197007

kimjoy007.dyndns.org

svchost

acb157ba5a48631e1f9f269e6282f042666098614b66129224d213e27c1149bb

hope.doomdns.org

рд╕реАрдПрдордбреА

bf608318018dc10016b438f851aab719ea0abe6afc166c8aea6b04f2320896d3

franco20.dvrdns.org

svchost

4d0c9b8ad097d35b447d715a815c67ff3d78638b305776cde4d90bfdcb368e38

hope.doomdns.org

svchost

e7c676f5be41d49296454cd6e4280d89e37f506d84d57b22f0be0d87625568ba

kimjoy007.dyndns.org

svchost

9375d54fcda9c7d65f861dfda698e25710fda75b5ebfc7a238599f4b0d34205f

franco20.dvrdns.org

svchost

128367797fdf3c952831c2472f7a308f345ca04aa67b3f82b945cfea2ae11ce5

kimjoy007.dyndns.org

svchost

09bd720880461cb6e996046c7d6a1c937aa1c99bd19582a562053782600da79d

hope.doomdns.org

svchost

0a176164d2e1d5e2288881cc2e2d88800801001d03caedd524db365513e11276

paradickhead.homeip.net

svchost

0af5194950187fd7cbd75b1b39aab6e1e78dae7c216d08512755849c6a0d1cbe

hope.doomdns.org

svchost

рдпреБрджреНрдз рдХреНрд╖реЗрддреНрд░

3786324ce3f8c1ea3784e5389f84234f81828658b22b8a502b7d48866f5aa3d3

kimjoy007.dyndns.org

svchost

db0d5a67a0ced6b2de3ee7d7fc845a34b9d6ca608e5fead7f16c9a640fa659eb

kimjoy007.dyndns.org

svchost

рдиреЗрдЯрд╡рд╛рдпрд░

6dac218f741b022f5cad3b5ee01dbda80693f7045b42a0c70335d8a729002f2d

kimjoy007.dyndns.org

svchost

рдбрд╛рд░реНрдХрдЯреНрд░реЕрдХ

ea64fe672c953adc19553ea3b9118ce4ee88a14d92fc7e75aa04972848472702

kimjoy007.dyndns.org

svchost

WSH RAT

d410ced15c848825dcf75d30808cde7784e5b208f9a57b0896e828f890faea0e

anekesolution.linkpc.net

RegAsm

рдЪреБрдирд╛

896604d27d88c75a475b28e88e54104e66f480bcab89cc75b6cdc6b29f8e438b

softmy.duckdns.org

RegAsm

QuasarRAT

bd1e29e9d17edbab41c3634649da5c5d20375f055ccf968c022811cd9624be57

darkhate-23030.portmap.io

RegAsm

12044aa527742282ad5154a4de24e55c9e1fae42ef844ed6f2f890296122153b

darkhate-23030.portmap.io

RegAsm

be93cc77d864dafd7d8c21317722879b65cfbb3297416bde6ca6edbfd8166572

darkhate-23030.portmap.io

RegAsm

933a136f8969707a84a61f711018cd21ee891d5793216e063ac961b5d165f6c0

darkhate-23030.portmap.io

RegAsm

71dea554d93728cce8074dbdb4f63ceb072d4bb644f0718420f780398dafd943

chrom1.myq-see.com

RegAsm

0d344e8d72d752c06dc6a7f3abf2ff7678925fde872756bf78713027e1e332d5

darkhate-23030.portmap.io

RegAsm

0ed7f282fd242c3f2de949650c9253373265e9152c034c7df3f5f91769c6a4eb

darkhate-23030.portmap.io

RegAsm

aabb6759ce408ebfa2cc57702b14adaec933d8e4821abceaef0c1af3263b1bfa

darkhate-23030.portmap.io

RegAsm

1699a37ddcf4769111daf33b7d313cf376f47e92f6b92b2119bd0c860539f745

darkhate-23030.portmap.io

RegAsm

3472597945f3bbf84e735a778fd75c57855bb86aca9b0a4d0e4049817b508c8c

darkhate-23030.portmap.io

RegAsm

809010d8823da84cdbb2c8e6b70be725a6023c381041ebda8b125d1a6a71e9b1

darkhate-23030.portmap.io

RegAsm

4217a2da69f663f1ab42ebac61978014ec4f562501efb2e040db7ebb223a7dff

darkhate-23030.portmap.io

RegAsm

08f34b3088af792a95c49bcb9aa016d4660609409663bf1b51f4c331b87bae00

darkhate-23030.portmap.io

RegAsm

79b4efcce84e9e7a2e85df7b0327406bee0b359ad1445b4f08e390309ea0c90d

darkhate-23030.portmap.io

RegAsm

12ea7ce04e0177a71a551e6d61e4a7916b1709729b2d3e9daf7b1bdd0785f63a

darkhate-23030.portmap.io

RegAsm

d7b8eb42ae35e9cc46744f1285557423f24666db1bde92bf7679f0ce7b389af9

darkhate-23030.portmap.io

RegAsm

def09b0fed3360c457257266cb851fffd8c844bc04a623c210a2efafdf000d5c

darkhate-23030.portmap.io

RegAsm

50119497c5f919a7e816a37178d28906fb3171b07fc869961ef92601ceca4c1c

darkhate-23030.portmap.io

RegAsm

ade5a2f25f603bf4502efa800d3cf5d19d1f0d69499b0f2e9ec7c85c6dd49621

darkhate-23030.portmap.io

RegAsm

189d5813c931889190881ee34749d390e3baa80b2c67b426b10b3666c3cc64b7

darkhate-23030.portmap.io

RegAsm

c3193dd67650723753289a4aebf97d4c72a1afe73c7135bee91c77bdf1517f21

darkhate-23030.portmap.io

RegAsm

a6f814f14698141753fc6fb7850ead9af2ebcb0e32ab99236a733ddb03b9eec2

darkhate-23030.portmap.io

RegAsm

a55116253624641544175a30c956dbd0638b714ff97b9de0e24145720dcfdf74

darkhate-23030.portmap.io

RegAsm

d6e0f0fb460d9108397850169112bd90a372f66d87b028e522184682a825d213

darkhate-23030.portmap.io

RegAsm

522ba6a242c35e2bf8303e99f03a85d867496bbb0572226e226af48cc1461a86

darkhate-23030.portmap.io

RegAsm

fabfdc209b02fe522f81356680db89f8861583da89984c20273904e0cf9f4a02

darkhate-23030.portmap.io

RegAsm

08ec13b7da6e0d645e4508b19ba616e4cf4e0421aa8e26ac7f69e13dc8796691

darkhate-23030.portmap.io

RegAsm

8433c75730578f963556ec99fbc8d97fa63a522cef71933f260f385c76a8ee8d

darkhate-23030.portmap.io

RegAsm

99f6bfd9edb9bf108b11c149dd59346484c7418fc4c455401c15c8ac74b70c74

darkhate-23030.portmap.io

RegAsm

d13520e48f0ff745e31a1dfd6f15ab56c9faecb51f3d5d3d87f6f2e1abe6b5cf

darkhate-23030.portmap.io

RegAsm

9e6978b16bd52fcd9c331839545c943adc87e0fbd7b3f947bab22ffdd309f747

darkhate-23030.portmap.io

RegAsmтБа

рд╕реНрддреНрд░реЛрдд: www.habr.com

рдПрдХ рдЯрд┐рдкреНрдкрдгреА рдЬреЛрдбрд╛