ááááºááŸá
áºáá¯ááºááá¯ááºážááŸá
áá áááºáá¯ááºáááºážááá¯ááºáᬠTrojan ááŒáá·áºáá±ááẠá¡áá¹ááá¬ááºááŸááá±á¬ áááºááááºážá¡áá
áºááᯠáá»áœááºá¯ááºááá¯á· á
áááºááŒá±áá¬áá¶áá²á·áááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáá¯ááŸá¬ážáá¯áá¹ááá®áá»á¬ážááŒá
áºááá·áº áá±á¬áºááá¯ááááºá¡áá¯á¶ážááŒá¯áá°áá»á¬ážááᯠá¡áá±ážá¡áá°áá¯ááºááẠá¡á¬áá¯á¶á
áá¯ááºáá²á·ááŒáááºá á¡áá¹ááá¬ááºááŸááá±á¬ áááºááááºážááẠá¡áááºážáá¯á¶áž áá
áºááŸá
áºááŒá¬ ááŸá¯ááºááŸá¬ážáá±ááŒá®áž áááºáá¯ááºáááºážááá¯ááºáᬠTrojan áá»á¬ážá¡ááŒááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠá¡ááŒá¬ážáá±á¬á·ááºáá²ááºáááááᬠá¡áá»áá¯ážáá»áá¯ážááᯠá¡áá¯á¶ážááŒá¯áá²á·ááŒáááºá áááºážááá¯á·ááᯠá¡áá¯á¶ážááŒá¯á áá¯ááºááá¯ážáá¬ážáá±á¬ á¡áá°áž loader áá
áºáᯠáá«áááºáááºá
ááá¯ááºááá¯ááºáá°áá»á¬ážááẠWindows ááœáẠáá¯ááŸá¬ážáá¬áá¬á
áá¬ážááᯠá¡áá¯á¶ážááŒá¯ááá·áº (áá±ááá¶á¡ááŒá
áºáááºááŸááºááŒááºáž) ááᯠáá°áááºážá¡ááá¯ááºáž á¡áá¯á¶ážááŒá¯ááá·áº ááœááºáá»á°áá¬áá»á¬ážááœááºáᬠmalware ááá·áºááœááºážáá¬ážáááºá Trojan á á¡ááá ááŒáá·áºááŒá°ážááá·áº vector ááẠexploit áá
áºáá¯áá«ááŸááá±á¬ Word document áá
áºáá¯ááŒá
áºáááºá
ááááºážá 1. Phishing á
á¬ááœááºá
á¬áááºážá
ááááºážá 2. phishing á
á¬ááœááºá
á¬áááºážááá±á¬ááºáááºááœááºážáá¶ááŸá¯á
ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáá¯ááŸá¬ážá á®ážááœá¬ážáá±ážáá¯ááºáááºážáá»á¬ážááᯠáá áºááŸááºáá¬ážáá±ááŒá±á¬ááºáž á¡á±á¬ááºáá«á¡áá»ááºá¡áááºáá»á¬ážá áá±á¬áºááŒáááºá
- áááºááŸááºáá¬ážáá±á¬ á¡ááŒá±á¬ááºážá¡áá¬ááœáẠá á¬ááœááºá á¬áááºážá¡áá¯áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á malware ááŒáá·áºáá±ááŒááºážá
- ááá¯ááºááá¯ááºáá°áá»á¬ážá áááºážáá»á°áá¬áá»á¬ážááŸáá·áº áááºážááá¯á·á¡áá¯á¶ážááŒá¯áá±á¬ á¡áá¹ááá¬ááºááŸááá±á¬ áááááá¬áá»á¬ážá
- á¡áá»áá¯á·áá±á¬ executable modules áá»á¬ážááœáẠbusiness applications áá»á¬ážááŸáá·áº áá»áááºáááºááŸá¯áá»á¬ážá
- á€áááºááááºážááœáẠá¡áá¯á¶ážááŒá¯áá²á·ááá·áº á¡áá¹ááá¬ááºááŸááá±á¬ ááá¯ááááºážáá»á¬ážá á¡áááºáá»á¬ážá
ááá¯ááºááá¯ááºáá°áá»á¬ážááẠá¡áá±ážá¡áá°áá¶ááá±á¬á áá áºááœáẠááá·áºááœááºážááá·áº á¡áá°ážáá±á¬á·ááºáá²ááºáááááá¬áá»á¬ážááẠáááºážááá¯á·á¡á¬áž á áá áºáá¡áá±ážááááºážááá¯ááºááᯠáááŸáá á±ááŒá®áž á¡áá¯á¶ážááŒá¯áá°áááŸá¯ááºááŸá¬ážááŸá¯ááᯠá á±á¬áá·áºááŒáá·áºá á±áááºá á€áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááá¯áá¯ááºáá±á¬ááºáááºá áááºážááá¯á·ááẠbackdoor ááá¯ááá·áºááœááºážááŒá®áž Windows á¡áá±á¬áá·áºá áá¬ážááŸááºááá¯ááá°ááẠááá¯á·ááá¯áẠá¡áá±á¬áá·áºá¡áá áºáá áºáá¯áááºáá®ážáááºáááºáž ááŒáá¯ážá á¬ážááŒáááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáá®ážáá±á¬á·ááºáá« (keylogger)á Windows ááá áºáá¯ááºááá¯ážáá°ááá·áº áááºáá±á¬ááºááŸá¯áá»á¬ážááŸáá·áº á áááºáááºáá»á¬ážááŸáá·áº áá¯ááºáá±á¬ááºáááºá¡ááœáẠá¡áá°ážáá±á¬á·ááºáá²áá»á¬ážááᯠá¡á¬ážááá¯ážá¡á¬ážáá¬ážááŒá¯ááŒáááºá á€á¡ááœá²á·ááẠáá¬ážáá±á¬ááºáááœááºááŒá°áá¬áá²á·ááá¯á· áá±áááœááºážááœááºáááºááœááºááŸááá±á¬ á¡ááŒá¬ážááœááºáá»á°áá¬áá»á¬ážááᯠá¡áá±ážá¡áá°áá¯ááºááẠááŒáá¯ážá á¬ážáá²á·áááºá
áá»áœááºá¯ááºááá¯á·á ESET LiveGrid áááºáá®áá®áá¬á áá áºááẠmalware ááŒáá·áºááŒá°ážááŸá¯á á¬áááºážá¡ááºážáá»á¬ážááᯠáá»ááºááŒááºá áœá¬ááŒá±áá¬áá¶ááá¯ááºá á±ááá·áº áá»áœááºá¯ááºááá¯á·á¡á¬áž áá±á¬áºááŒáá¬ážáá±á¬ áááºááááºážááœáẠááá¯ááºááá¯ááºáá°áá»á¬ážá¡áá¯á¶ážááŒá¯ááá·áº malware ááŒáá·áºááŒá°ážááŒááºážááá¯ááºáᬠá áááºáááºá á¬ážááœááºáá±á¬ááºážáá±á¬ áááá®áááºááááºážááááºážá á¬áááºážááá¬ážáá»á¬ážááᯠáá±ážáá±á¬ááºáá«áááºá
РОÑ. 3. СÑаÑОÑÑОка геПгÑаÑОÑеÑкПгП ÑаÑпÑПÑÑÑÐ°ÐœÐµÐœÐžÑ Ð²ÑеЎПМПÑМПгП ÐÐ, кПÑПÑПе ОÑпПлÑзПвалПÑÑ Ð² ÑÑПй вÑеЎПМПÑМПй каЌпаМОО.
Malware ááᯠááá·áºááœááºážááŒááºážá
á¡áá¯á¶ážááŒá¯áá°áá áºáŠážááẠá¡á¬ážáááºážáá»ááºááŸááá±á¬á áá áºááœáẠá¡áá¯á¶ážáá»ááŸá¯áá áºáá¯ááŒáá·áº á¡áá¹ááá¬ááºááŸááá±á¬á á¬ááœááºá á¬áááºážááá¯ááœáá·áºááŒá®ážáá±á¬ááºá NSIS ááá¯á¡áá¯á¶ážááŒá¯ááá¯ááºááá¯ážáá¬ážáá±á¬ á¡áá°ážáá±á«ááºážáá¯ááºááᯠááá¯áá±áá¬ááœáẠáá±á«ááºážáá¯ááºáá¯ááºáᬠáá¯ááºáá±á¬ááºáááºááŒá áºáááºá áááºážááá¯ááºáááºážá¡á ááœááºá áááá¯ááááºááẠááá¯áá±áá¬ááœáẠá¡ááŸá¬ážááŸá¬áá»á¬ážááŸááá±ááŒááºáž ááá¯á·ááá¯áẠvirtual machine áá¡ááŒá±á¡áá±ááœáẠáá¯ááºáá±á¬ááºááŒááºážá¡ááœáẠWindows áááºáááºážáá»ááºááᯠá á áºáá±ážáááºá áááºážááẠWindows á áá±ááá¹ááááŒá¯ááŸá¯ááá¯áááºáž á á áºáá±ážááŒá®áž áá¯á¶ážá áœá²áá°ááẠááá±á¬ááºáá¬ááŸá ááá¬ážááŸá á¡á±á¬ááºáá±á¬áºááŒáá« URL áá»á¬ážááᯠááœá¬ážáá±á¬ááºááŒáá·áºááŸá¯ááŒááºáž ááŸááááŸáááá¯áááºáž á á áºáá±ážáá«áááºá á€á¡ááœáẠAPIs ááá¯á¡áá¯á¶ážááŒá¯áááºá ááááá¯á¶ážááŸá¬áá«á/NextUrlCacheEntry ááŸáá·áº SoftwareMicrosoftInternet ExplorerTypedURLs ááŸááºáá¯á¶áááºáá®ážá
bootloader ááẠsystem ááœááºá¡á±á¬ááºáá«á¡ááá®áá±ážááŸááºážáá»á¬ážááŸááá±ááŒááºážááá¯á
á
áºáá±ážáááºá
áá¯ááºáááºážá
ááºáá»á¬ážá
á¬áááºážááẠá¡ááŸááºáááẠá¡áááºááŒá®ážá
áá¬áá±á¬ááºážááŒá®áž áááºááŒááºáááá·áºá¡ááá¯ááºážá áááºážááœáẠáááºáá¯ááºáááºážááá¯ááºáᬠá¡áá¯á¶ážáá»ááŸá¯áá»á¬ážáá¬áááá² áá«áááºáááºá á¥ááá¬á¡á¬ážááŒáá·áºá âscardsvr.exeâ áᯠá¡áááºáá±ážáá¬ážááá·áº áááºáááºááá¯ááºáá±á¬ ááá¯ááºááẠá
áááºáááºáá»á¬áž (Microsoft SmartCard reader) ááŒáá·áº áá¯ááºáá±á¬ááºááá¯ááºáá±á¬ áá±á¬á·ááºáá²ááᯠáááºááœáŸááºážáááºá áááºáá¯ááºáááºáž Trojan ááá¯ááºááá¯ááºá á
áááºáááºáá»á¬ážááŒáá·áº áá¯ááºáá±á¬ááºááá¯ááºá
áœááºáž áá«áááºáááºá
ááááºážá 4. malware áááºáááºááŒááºážáá¯ááºáááºážá
ááºá á¡ááœá±ááœá±áá¯á¶ááŒááºážá
á á áºáá±ážááŸá¯áá»á¬ážá¡á¬ážáá¯á¶ážááᯠá¡á±á¬ááºááŒááºá áœá¬ááŒá®ážááŒá±á¬ááºáá«áá loader ááẠááá¯ááºááá¯ááºáá°áá»á¬ážá¡áá¯á¶ážááŒá¯áá±á¬ á¡áá¹ááá¬ááºááŸááá±á¬ executable module áá»á¬ážá¡á¬ážáá¯á¶ážáá«ááŸááá±á¬ á¡áá±ážááááºážáá¬áá¬á០á¡áá°ážááá¯áẠ(archive) ááᯠáá±á«ááºážáá¯ááºáá¯ááºáááºááŒá áºáááºá á¡áááºáá±á¬áºááŒáá« á á áºáá±ážááŸá¯áá»á¬ážá¡áá±á«áº áá°áááºá á¡áá±ážááááºáž C&C áá¬áá¬á០áá±á«ááºážáá¯ááºáá¯ááºáá¬ážáá±á¬ áá±á¬áºááœááºážááá¯ááºáá»á¬ážááẠááœá²ááŒá¬ážááá¯ááºáááºááᯠáááááŒá¯áááºááŸá¬ á áááºáááºá á¬ážá áá¬áá±á¬ááºážáá«áááºá ááŸááºáááºážááẠá¡áá¹ááá¬ááºááŸáááá¯ááºááẠááá¯á·ááá¯áẠááŒá áºááá¯ááºáááºááá¯ááºáá±á á¡áá¹ááá¬ááºáááŸááá«áá áááºážááẠá¡áá¯á¶ážááŒá¯áá°á¡ááœáẠWindows Live Toolbar ááᯠááá·áºááœááºážáá±ážáááºá ááŒá áºááá¯ááºáá»á± á¡áá»á¬ážá á¯ááŸá¬á ááá¯ááºááá¯ááºáá°áá»á¬ážááẠá¡ááá¯á¡áá»á±á¬áẠááá¯ááºááœá²ááŒááºážá áááºááŒá¬ááŸá¯á áá áºáá»á¬ážááŸáá·áº áá¶ááááŒá áºááœááºááá¯ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááá·áº virtual machines áá»á¬ážááᯠááŸáá·áºááŒá¬ážááẠá¡áá¬ážáá°ááŸáá·áºááœááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá²á·ááŒáááºá
NSIS áá±á«ááºážáá¯ááºáá¯ááºáá°á០áá±á«ááºážáá¯ááºáá¯ááºáá¬ážáá±á¬ ááá¯ááºááẠá¡áá»áá¯ážáá»áá¯ážáá±á¬ malware module áá»á¬ážáá«ááŸááá±á¬ 7z ááŸááºáááºážáá áºáá¯ááŒá áºáááºá á¡á±á¬ááºáá±á¬áºááŒáá«áá¯á¶ááẠဠmalware ááááºáááºááŸá¯áá¯ááºáááºážá ááºáá áºáá¯áá¯á¶ážááŸáá·áº áááºážáá¡áá»áá¯ážáá»áá¯ážáá±á¬ module áá»á¬ážááá¯ááŒááá¬ážáááºá
ááááºážá 5. Malware á¡áá¯ááºáá¯ááºáá¯á¶ á¡ááœá±ááœá±á¡á
á®á¡á
ááºá
áááºáá¬ážáá±á¬ module áá»á¬ážááẠááá¯ááºááá¯ááºáá°áá»á¬ážá¡ááœáẠááá°áá®áá±á¬ áááºááœááºáá»ááºáá»á¬ážááᯠáá±á¬ááºááœááºáá±ážáá±á¬áºáááºáž áááºážááá¯á·ááᯠáá°áá®á áœá¬ áá¯ááºááá¯ážáá¬ážááŒá®áž á¡áá»á¬ážá á¯ááŸá¬ ááá¬ážááẠáá áºáá»á áºááẠáááºááŸááºáá»á¬ážááŒáá·áº áááºááŸááºáá±ážááá¯ážáá¬ážáááºá ááŸá¯á¶á·áá±á¬áºááŸá¯á¡á ááááºážá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠá¡áá¯á¶ážááŒá¯áá²á·ááá·áº áááºááŸááºáá±ážáá¯ááᯠáá»áœááºá¯ááºááá¯á·ááœá±á·ááŸááá²á·áááºá áá»áœááºá¯ááºááá¯á·áááá¯ááºááŒá¬ážáá»ááºááŒá®ážáá±á¬ááºá á€áááºááŸááºáá»á¬ážááᯠáá¯ááºááááºážáá²á·áá«áááºá áá±á¬áºá ááá¯ááœáẠááŸááºáá¯á¶áááºáá¬ážáá±á¬ áá¯áá¹ááá®áá»á¬ážááá¯á· áááºááŸááºáá»á¬ážá¡á¬ážáá¯á¶ážááᯠáá¯ááºáá±ážáá²á·ááŒá±á¬ááºáž á áááºáááºá á¬ážááœáẠááŸááºáá¬ážááœááºáá±á¬ááºážáááºá
ááááºážá 6. malware ááᯠáááºááŸááºááá¯ážááẠá¡áá¯á¶ážááŒá¯áá²á·ááá·áº áá
áºáá»á
áºáááºáááºááŸááºá
á¡á±á¬ááºáá«ááá¬ážááẠá€á¡áá¹ááá¬ááºááŸááá±á¬ááŸá¯á¶á·áá±á¬áºááŸá¯ááœáẠááá¯ááºááá¯ááºáá°áá»á¬ážá¡áá¯á¶ážááŒá¯ááá·áº áá áºáá»á áºáááºáááºááŸááºáá»á¬ážááᯠááœá²ááŒá¬ážáááºááŸááºáááºá
ááá¯ááºááá¯ááºáá°áá»á¬ážá¡áá¯á¶ážááŒá¯áá±á¬ á¡áá¹ááá¬ááºááŸááá±á¬ module áá»á¬ážá¡á¬ážáá¯á¶ážáá®ážáá«ážááœáẠáááºáá°ááá·áºááœááºážááŒááºážáá¯ááºáááºážá
ááºáá
áºáá¯ááŸááááºá áááºážááá¯á·ááẠá
áá¬ážááŸááºááŒáá·áº áá¬ááœááºáá¬ážááá·áº 7zip ááŸááºáááºážáá»á¬ážááᯠááá¯ááºááá¯ááºáá¯ááºáá°áá±áá«áááºá
ááááºážá 7. install.cmd batch ááá¯ááºáá¡ááá¯ááºážá¡á
á
batch .cmd ááá¯ááºááẠá
áá
áºááœáẠmalware ááá·áºááœááºážááŒááºážááŸáá·áº ááá¯ááºááá¯ááºáá°áááááᬠá¡áá»áá¯ážáá»áá¯ážááᯠá
áááºááŒááºážá¡ááœáẠáá¬áááºááŸááááºá á
á®áá¶á¡á¯ááºáá»á¯ááºááŸá¯ááá¯ááºáᬠá¡ááœáá·áºá¡áá±ážáá»á¬áž ááœá²ááŸá¬ážáá±áá«áá áááºážááá¯á·ááᯠááá°ááẠá¡áá¹ááá¬ááºááŸááá±á¬ áá¯ááºááẠáááºážáááºážáá»á¬ážá
áœá¬ááᯠá¡áá¯á¶ážááŒá¯ááẠ(UAC ááᯠáá»á±á¬áºááŒááºááŒááºáž)á ááááááºážáááºážááá¯á¡áá±á¬ááºá¡áááºáá±á¬áºáááºá¡ááœáẠl1.exe ááŸáá·áº cc1.exe áá¯áá±á«áºáá±á¬ executable file ááŸá
áºáá¯ááá¯á¡áá¯á¶ážááŒá¯ááŒá®áž UAC ááá¯áá»á±á¬áºááŒááºáá¬ááœáẠá¡áá°ážááŒá¯áá«áááºá
Ðа вÑÐµÐŒÑ ÐŸÑÑÐ»ÐµÐ¶ÐžÐ²Ð°ÐœÐžÑ ÑÑПй каЌпаМОО ÐŒÑ Ð¿ÑПаМалОзОÑПвалО МеÑкПлÑкП аÑÑ ÐžÐ²ÐŸÐ² загÑÑжаеЌÑÑ Ð·Ð°Ð³ÑÑзÑОкПЌ. СПЎеÑжОЌПе аÑÑ ÐžÐ²ÐŸÐ² ÑазлОÑалПÑÑ, Ñ. е. злПÑÐŒÑÑлеММОкО ЌПглО аЎапÑОÑПваÑÑ Ð²ÑеЎПМПÑÐœÑе ЌПЎÑлО пПЎ ÑазлОÑÐœÑе ÑелО.
á¡áá¯á¶ážááŒá¯áá°á¡áá±ážá¡áá°
á¡áááºáá±á¬áºááŒáá«á¡ááá¯ááºážá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáá¯á¶ážá áœá²áá°áá»á¬ážá ááœááºáá»á°áá¬áá»á¬ážááᯠá¡áá±ážá¡áá°áá¯ááºááẠá¡áá°ážáááááá¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒáááºá á€áááááá¬áá»á¬ážááœáẠáááºáááºááá¯ááºáá±á¬ ááá¯ááºá¡ááẠmimi.exe ááŸáá·áº xtm.exe ááá¯á·áá«áááºáááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáá¬ážáá±á¬ááºáááœááºáá»á°áá¬ááᯠááááºážáá»á¯ááºááá¯ááºááŒá®áž á¡á±á¬ááºáá«áá¬áááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºáá¬ááœáẠá¡áá°ážááŒá¯áá°áá®áá±ážáááº- Windows á¡áá±á¬áá·áºáá»á¬ážá¡ááœáẠá áá¬ážááŸááºáá»á¬ážááá°ááŒááºáž/ááŒááºáááºááá°ááŒááºážá RDP áááºáá±á¬ááºááŸá¯ááá¯ááœáá·áºááŒááºážá OS ááœáẠá¡áá±á¬áá·áºá¡áá áºáá áºáá¯áááºáá®ážááŒááºážá
mimi.exe executable ááœáẠáá°áááá»á¬ážáá±á¬ open source tool á ááŒá¯ááŒááºáá¬ážáá±á¬áá¬ážááŸááºážáá
áºáᯠáá«áááºáááºá
áá±á¬ááºááẠexecutable ááá¯ááºááŒá áºááá·áº xtm.exe ááẠá áá áºá¡ááœááºáž RDP áááºáá±á¬ááºááŸá¯ááᯠááœáá·áºáá±ážááá·áº á¡áá°áž scripts áá»á¬ážááᯠááœáá·áºáá±ážáááºá OS ááœáẠá¡áá±á¬áá·áºá¡áá áºáá áºáᯠáááºáá®ážáááºááŸáá·áº RDP ááŸáá áºááá·áº áá¯á¶ážá áœá²áá°áá»á¬ážá áœá¬ááᯠá¡áá¹ááá¬ááºááŸááá±á¬ ááœááºáá»á°áá¬ááá¯á· áá áºááŒáá¯ááºááẠáá»áááºáááºááá¯ááºá á±ááẠá áá áºáááºáááºáá»á¬ážááᯠááŒá±á¬ááºážáá²áá±ážáá«áááºá á¡áá±ážá¡áá°áá¶á áá áºá á¡ááŒáá·áºá¡áááááºážáá»á¯ááºááŸá¯áááŸáááẠá€á¡ááá·áºáá»á¬ážááẠáááºááŸá¬ážáá«áááºá
ááááºážá 8. á
áá
áºááœáẠxtm.exe ááŸáá¯ááºáá±á¬ááºáá±á¬á¡áááá·áºáá»á¬ážá
ááá¯ááºááá¯ááºáá°áá»á¬ážááẠá áá áºááœáẠá¡áá°ážáá±á¬á·ááºáá²ááᯠááá·áºááœááºážááẠá¡áá¯á¶ážááŒá¯ááá·áº á¡ááŒá¬ážáá±á¬ executable file ááŒá áºáá±á¬ impack.exe ááᯠá¡áá¯á¶ážááŒá¯áááºá á€áá±á¬á·ááºáá²ááºááᯠLiteManager áá¯áá±á«áºááŒá®áž ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáá±á¬ááºáá¶áá¶áá«ážá¡ááŒá Ạá¡áá¯á¶ážááŒá¯áááºá
РОÑ. 9. ÐÐœÑеÑÑÐµÐ¹Ñ LiteManager.
á¡áá¯á¶ážááŒá¯áá°áá áá áºááœáẠááá·áºááœááºážááŒá®ážáááºááŸáá·áº LiteManager ááẠááá¯ááºááá¯ááºáá°áá»á¬ážááᯠá¡ááá¯áá«á áá áºááá¯á· ááá¯ááºááá¯ááºáá»áááºáááºáᬠáááºážá¡á¬áž á¡áá±ážá០ááááºážáá»á¯ááºááá¯ááºá á±áááºááŒá áºáááºá á€áá±á¬á·ááºáá²ááœáẠáááºážááá»áŸáá¯á·ááŸááºáááºáááºááŸá¯á á¡áá°áž firewall á ááºážáá»ááºážáá»á¬ážáááºáá®ážááŒááºážááŸáá·áº áááºážá module ááá¯á áááºááŒááºážá¡ááœáẠá¡áá°ážá¡áááá·áºáá±ážááá¯ááºážáá±á¬ááºáá±á¬ááºáá»á¬ážáá«ááŸááááºá ááá·áºáááºáá»ááºáá»á¬ážá¡á¬ážáá¯á¶ážááᯠááá¯ááºááá¯ááºáá°áá»á¬ážááẠá¡áá¯á¶ážááŒá¯áááºá
ááá¯ááºááá¯ááºáá°áá»á¬ážá¡áá¯á¶ážááŒá¯ááá·áº malware áááºáá±á·ááºá»á áá±á¬ááºáá¯á¶áž module ááẠexecutable file name pn_pack.exe ááŒáá·áº áááºáá¯ááºáááºážáá²ááºáá²áááá¯áááẠ(áááºáá¯ááºáááºážááŸááº) ááŒá áºáááºá áá°áááẠá¡áá¯á¶ážááŒá¯áá°á¡áá±á«áº áá°áá»áŸáá¯áá¯ááºááŒááºážááœáẠá¡áá°ážáá»áœááºážáá»ááºááŒá®áž C&C áá¬áá¬ááŸáá·áº á¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááŸá¯á¡ááœáẠáá¬áááºááŸááááºá áááºáá¯ááºáááºážááŸááºááẠááá¬ážááẠYandex Punto áá±á¬á·ááºáá²ááºááᯠá¡áá¯á¶ážááŒá¯á á áááºáá²á·áááºá Punto ááᯠááá¯ááºááá¯ááºáá°áá»á¬ážááẠá¡áá¹ááá¬ááºááŸááá±á¬ DLL á á¬ááŒáá·áºááá¯ááºáá»á¬áž (DLL Side-Loading áááºážáááºáž) ááá¯ááœáá·áºááẠá¡áá¯á¶ážááŒá¯áááºá Malware ááá¯ááºááá¯ááºá á¡á±á¬ááºáá«áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºááá¯ááºáááº-
- á¡áá±ážááááºážáá¬áá¬ááá¯á· áááºážááá¯á·á áá±á¬ááºáááºááœá² áá¯ááºááœáŸáá·áºááŸá¯á¡ááœáẠáá®ážáá¯ááºááá¯ááºáá»á¬ážááŸáá·áº ááá áºáá¯ááºá¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠááŒá±áá¬áá¶áá«á
- á áá áºááœááºáá«ááŸááá±á¬ á áááºáááºáá»á¬ážá¡á¬ážáá¯á¶ážááᯠá á¬áááºážááŒá¯á á¯áá«á
- á¡áá±ážááááºáž C&C áá¬áá¬ááŸáá·áº á¡ááŒááºá¡ááŸáẠáá¯á¶á·ááŒááºáá«á
á€á¡áá¯ááºáá»á¬ážá¡á¬ážáá¯á¶ážááᯠáá¯ááºáá±á¬ááºááẠáá¬áááºááŸáááá·áº malware module ááẠáá¯ááºááŸááºáá¬ážáá±á¬ DLL á á¬ááŒáá·áºááá¯ááºáá áºáá¯ááŒá áºáááºá áááºážááᯠPunto ááœááºáá»ááºá ááºá¡ááœááºáž áááºážááᯠáá¯ááºááŸááºááŒá®áž ááŸááºáá¬ááºáá²ááá¯á· ááá·áºááœááºážáá¬ážáááºá á¡áááºáá±á¬áºááŒáá« áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºáááºá DLL á á®áá¶áá¯ááºáá±á¬ááºááá¯ááºáá±á¬ áá¯ááºááẠá á¬ááœá²áá¯á¶ážáá¯ááᯠá áááºáááºá
ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáááºážááá¯á·ááááºááœááºáá»ááºá¡ááœáẠPunto áá±á¬á·ááºáá²ááºááᯠááœá±ážáá»ááºáá²á·ááŒááºážááŸá¬ á¡á¶á·ááŒá áá¬ááá¯ááºáá«- á¡áá»áá¯á·áá±á¬áá¯ááŸá¬ážááá¯áááºáá»á¬ážááẠáá¯á¶ážá áœá²áá°áá»á¬ážá¡á¬áž á¡áá±ážá¡áá°áá¯ááºááẠááá¬ážáááºáá±á¬á·ááºáá²ááºááœáẠáá»áá¯á·ááœááºážáá»ááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážáá²á·ááá¯á·áá±á¬ á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááŸáá·áºáááºáááºááá·áº á¡áá±ážá áááºá¡áá»ááºá¡áááºáá»á¬ážááᯠááœáá·áºáááºážááŒááºáá¬á áœá¬ áá±ážáá±á¬ááºáá«áááºá
á¡áá¹ááá¬ááºááŸááá±á¬á á¬ááŒáá·áºááá¯ááºááẠáááºážáá á¬ááŒá±á¬ááºážáá»á¬ážááᯠá á¬ááŸááºááẠRC4 á¡ááºáááá¯áá®áááºááᯠá¡áá¯á¶ážááŒá¯ááá·áºá¡ááŒáẠC&C áá¬áá¬ááŸáá·áº ááœááºááẠá¡ááŒááºá¡ááŸááºáááºááœááºááŸá¯áá»á¬ážá¡ááœááºáž áááºážááẠááŸá áºáááá áºááá¯ááºáž áá¬áá¬ááᯠáááºááœááºááŒá®áž á€áá¬áá¡ááœááºáž á¡áá±ážá¡áá°áá¶á áá áºááœáẠá á¯áá±á¬ááºážáá¬ážááá·áº áá±áá¬á¡á¬ážáá¯á¶ážááᯠááá¯áá±áá¬ááá¯á· ááá¯á·ááœáŸááºáá«áááºá
ááááºážá 10. bot ááŸáá·áº áá¬áá¬ááŒá¬ážááŸá ááœááºááẠá¡ááŒááºá¡ááŸáẠáááºááœááºááŸá¯á¡ááá¯ááºážá
á¡á±á¬ááºááœáẠá á¬ááŒáá·áºááá¯ááºá០áááŸáááá¯ááºáá±á¬ C&C áá¬áᬠááœáŸááºááŒá¬ážáá»ááºá¡áá»áá¯á·ááŒá áºáááºá
C&C áá¬áá¬á០ááœáŸááºááŒá¬ážáá»ááºáá»á¬ážááᯠáááºáá¶áááŸáááŒááºážá¡ááœááºá malware ááẠá¡ááŒá±á¡áá±áá¯ááºáá
áºáá¯ááŒáá·áº áá¯á¶á·ááŒááºáááºá áá»áœááºá¯ááºááá¯á· ááœá²ááŒááºážá
áááºááŒá¬áá²á·áá±á¬ áááºáá¯ááºáááºáž module áá»á¬ážá¡á¬ážáá¯á¶áž (áááºááá«áá® 18 áááºá á
á¯á
ááºážáááºá
áœá²áá«áá±á¬) ááœáẠC&C áá¬áá¬ááá¯á· áááºáá±á·áá»áºáá
áºáá¯á
á®ááœáẠáá±ážááá¯á·ááá·áº âTEST_BOTNETâ á
á¬ááŒá±á¬ááºážáá«ááŸááááºááᯠáááááŒá¯áááºááŸá¬ á
áááºáááºá
á¬ážá
áá¬áá±á¬ááºážáá«áááºá
áá±á¬ááºáá»ááº
áá±á¬áºááá¯ááááºá¡áá¯á¶ážááŒá¯áá°áá»á¬ážááᯠá¡áá±ážá¡áá°áá¯ááºááẠáááá¡ááá·áºááœáẠááá¯ááºááá¯ááºáá°áá»á¬ážááẠá¡áá¯á¶ážáá»ááŸá¯áá áºáá¯ááŒáá·áº phishing message áá±ážááá¯á·ááŒááºážááŒáá·áº áá¯áá¹ááá®ááááºáááºážáá áºáŠážááᯠá¡áá±ážá¡áá°áá¯ááºááŒáááºá ááá¯á·áá±á¬ááºá á áá áºááœáẠMalware ááᯠááá·áºááœááºážááŒá®ážáááºááŸáá·áºá áááºážááá¯á·ááẠáááºážááá¯á·á¡á¬áž á áá áºááœáẠáááºážááá¯á·á áá¯ááºááá¯ááºááœáá·áºá¡á¬áá¬ááᯠáááá¬áááºááŸá¬ážá áœá¬ áá»á²á·ááœááºááŒá®áž áááºážááœáẠáá±á¬ááºáááºáá¯ááºáá±á¬ááºá áá¬áá»á¬ážááᯠáá¯ááºáá±á¬ááºááẠáá°áá®áá±ážááá·áº áá±á¬á·ááºáá²ááºáááááá¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áááá·áºáááº- áá±á¬áºááá¯ááááºááœááºáááºááŸá á¡ááŒá¬ážááœááºáá»á°áá¬áá»á¬ážááᯠá¡áá±ážá¡áá°áá¯ááºáᬠá¡áá¯á¶ážááŒá¯áá°á¡á¬áž áá±á¬ááºááŸááºážáá±ážá¡ááŒááºá áá°áá¯ááºáá±á¬ááºáá±áá±á¬ áááºáá¯ááºáááºážááá á¹á áá»á¬ážá
source: www.habr.com