မကြာသေးမီနှစ်များအတွင်း၊ မိုဘိုင်းလ် Trojan များသည် ကိုယ်ပိုင်ကွန်ပျူတာများအတွက် Trojan များကို တက်ကြွစွာ အစားထိုးလာသောကြောင့် ကောင်းမွန်သော “ကားများ” အတွက် malware အသစ်များ ပေါ်ပေါက်လာခြင်းနှင့် ဆိုက်ဘာရာဇ၀တ်ကောင်များက ၎င်းတို့၏ တက်ကြွစွာအသုံးပြုခြင်းသည် မနှစ်မြို့ဖွယ်ဖြစ်သော်လည်း ဖြစ်ရပ်တစ်ခုအဖြစ် ရှိနေဆဲဖြစ်သည်။ မကြာသေးမီက CERT Group-IB ၏ XNUMX/XNUMX သတင်းအချက်အလက် လုံခြုံရေး အဖြစ်အပျက် တုံ့ပြန်ရေးဌာနသည် Keylogger နှင့် PasswordStealer တို့၏ လုပ်ဆောင်ချက်များကို ပေါင်းစပ်ထားသည့် PC Malware အသစ်ကို ဖုံးကွယ်ထားသည့် ပုံမှန်မဟုတ်သော ဖြားယောင်းသည့်အီးမေးလ်ကို တွေ့ရှိခဲ့သည်။ ရေပန်းစားသော အသံမက်ဆေ့ဂျ်ကို အသုံးပြု၍ Spyware သည် သုံးစွဲသူ၏စက်သို့ မည်သို့ရောက်ရှိသွားသည်ကို လေ့လာသူများ၏ အာရုံစိုက်မှုကို ခံခဲ့ရပါသည်။ Ilya PomerantsevCERT Group-IB မှ malware ခွဲခြမ်းစိတ်ဖြာခြင်းဆိုင်ရာ ကျွမ်းကျင်သူ၊ သည် malware ၏ အလုပ်လုပ်ပုံ၊ အဘယ်ကြောင့် အန္တရာယ်ရှိကြောင်း ရှင်းပြခဲ့ပြီး ၎င်း၏ဖန်တီးရှင်ကို အဝေးမှ အီရတ်တွင်ပင် တွေ့ရှိခဲ့သည်။
ဒါဆို လိုက်ကြရအောင်။ ပူးတွဲပါဖိုင်တစ်ခု၏ အသွင်သဏ္ဍာန်အောက်တွင်၊ အသုံးပြုသူသည် ဝဘ်ဆိုက်သို့ ခေါ်ဆောင်သွားသည်ကို နှိပ်လိုက်သောအခါ၊ ထိုကဲ့သို့သော စာတစ်စောင်တွင် ပုံပါရှိသည်၊ cdn.discordapp.comပြီးတော့ အဲဒီကနေ အန္တရာယ်ရှိတဲ့ ဖိုင်ကို ဒေါင်းလုဒ်လုပ်ခဲ့တယ်။
အခမဲ့ အသံနှင့် စာတိုပေးပို့သူ ဖြစ်သော Discord ကို အသုံးပြုခြင်းသည် သမားရိုးကျ မဟုတ်ပေ။ ပုံမှန်အားဖြင့်၊ အခြားသော instant messenger သို့မဟုတ် လူမှုကွန်ရက်များကို ဤရည်ရွယ်ချက်များအတွက် အသုံးပြုပါသည်။
ပိုမိုအသေးစိတ်ခွဲခြမ်းစိတ်ဖြာမှုတစ်ခုအတွင်း၊ မဲလ်ဝဲမိသားစုတစ်စုကို တွေ့ရှိခဲ့သည်။ ၎င်းသည် malware စျေးကွက်သို့ အသစ်ဝင်လာသူဖြစ်လာခဲ့သည်- 404 Keylogger.
သော့လော့ဂ်ဂါ ရောင်းချခြင်းအတွက် ပထမဆုံး ကြော်ငြာကို တွင်တင်ခဲ့သည်။ ဟက်ခ်ဖိုရမ်များ သြဂုတ်လ ၈ ရက်နေ့တွင် “404 Coder” အမည်ဝှက်ဖြင့် အသုံးပြုသူ။
စတိုးဒိုမိန်းကို မကြာသေးမီက မှတ်ပုံတင်ခဲ့သည် - စက်တင်ဘာ 7၊ 2019 တွင်။
ဝဘ်ဆိုဒ်မှာ developer တွေပြောသလိုပါပဲ။ 404 ပရောဂျက်များ[.]xyz, 404 ကုမ္ပဏီများသည် ၎င်းတို့၏ ဖောက်သည်များ၏ လှုပ်ရှားမှုများ (၎င်းတို့၏ခွင့်ပြုချက်ဖြင့်) သို့မဟုတ် ၎င်းတို့၏ binary ကို ပြောင်းပြန်အင်ဂျင်နီယာမှ ကာကွယ်လိုသူများအတွက် အထောက်အကူဖြစ်စေရန် ဒီဇိုင်းထုတ်ထားသည့်ကိရိယာတစ်ခုဖြစ်သည်။ ရှေ့ကိုကြည့်လိုက်၊ နောက်ဆုံးအလုပ်လို့ ဆိုကြပါစို့ 404 ကျိန်းသေရင်မဆိုင်ဘူး။
ဖိုင်များထဲမှ တစ်ခုကို ပြောင်းပြန်လှန်ပြီး “အကောင်းဆုံး စမတ်ကီးလော့ဂ်ဂါ” က ဘာလဲဆိုတာ စစ်ဆေးဖို့ ဆုံးဖြတ်လိုက်ပါတယ်။
Malware ဂေဟစနစ်
Loader 1 (AtillaCrypter)
အရင်းအမြစ်ဖိုင်ကို အသုံးပြု၍ ကာကွယ်ထားသည်။ EaxObfuscator နှစ်ဆင့် loading ကို လုပ်ဆောင်သည်။ ကာကွယ်ပါ။ အရင်းအမြစ်များကဏ္ဍမှ။ VirusTotal တွင်တွေ့ရှိခဲ့သော အခြားနမူနာများကို ခွဲခြမ်းစိတ်ဖြာမှုအတွင်း၊ ဤအဆင့်ကို developer ကိုယ်တိုင်က မထောက်ပံ့ပေးသော်လည်း ၎င်း၏ client မှ ထည့်ထားကြောင်း သိသာထင်ရှားပါသည်။ ဤ bootloader သည် AtillaCrypter ဖြစ်ကြောင်း နောက်ပိုင်းတွင် ဆုံးဖြတ်ခဲ့သည်။
Bootloader 2 (AtProtect)
တကယ်တော့၊ ဤ loader သည် malware ၏အဓိကအစိတ်အပိုင်းတစ်ခုဖြစ်ပြီး developer ၏ရည်ရွယ်ချက်အရ၊ တန်ပြန်ခွဲခြမ်းစိတ်ဖြာမှု၏လုပ်ဆောင်နိုင်စွမ်းကိုအသုံးပြုသင့်သည်။
သို့သော် လက်တွေ့တွင်၊ အကာအကွယ်ယန္တရားများသည် အလွန်ပင်အခြေခံကျပြီး ကျွန်ုပ်တို့၏စနစ်များသည် ဤ malware ကို အောင်မြင်စွာရှာဖွေတွေ့ရှိနိုင်သည်။
ပင်မ module ကို အသုံးပြု၍ တင်ထားသည်။ Franchy ShellCode မတူညီသောဗားရှင်းများ။ သို့သော်၊ ဥပမာ၊ အခြားရွေးချယ်စရာများကို အသုံးပြုနိုင်ကြောင်း ကျွန်ုပ်တို့ မပါဝင်ပါ။ RunPE.
ဖွဲ့စည်းမှုဖိုင်
စုစည်းမှုစနစ်
bootloader မှ စနစ်အတွင်း စုစည်းမှုကို သေချာစေသည်။ ကာကွယ်ပါ။သက်ဆိုင်တဲ့ အလံကို သတ်မှတ်မယ်ဆိုရင်၊
- ဖိုင်ကို လမ်းကြောင်းတစ်လျှောက် ကူးယူထားသည်။ %AppData%GFqaakZpzwm.exe.
- ဖိုင်ကို ဖန်တီးနေပါသည်။ %AppData%GFqaakWinDriv.url, စတင်ရောင်းချ Zpzwm.exe.
- ချည်ထဲမှာ HKCUSoftwareMicrosoftWindowsCurrentVersionRun startup key တစ်ခုကို ဖန်တီးထားသည်။ WinDriv.url.
C&C နှင့် အပြန်အလှန်ဆက်ဆံခြင်း။
Loader AtProtect
သင့်လျော်သော အလံရှိနေပါက၊ malware သည် လျှို့ဝှက်ထားသော လုပ်ငန်းစဉ်ကို စတင်နိုင်သည်။ iexplorer အောင်မြင်သော ကူးစက်မှုအကြောင်း ဆာဗာအား အသိပေးရန် သတ်မှတ်ထားသော လင့်ခ်ကို လိုက်နာပါ။
DataStaler
အသုံးပြုသည့်နည်းလမ်း မည်သို့ပင်ရှိစေကာမူ အရင်းအမြစ်ကို အသုံးပြု၍ သားကောင်၏ ပြင်ပ IP ကို ရယူခြင်းဖြင့် ကွန်ရက်ဆက်သွယ်မှု စတင်သည်။ [http]://checkip[.]dyndns[.]org/.
အသုံးပြုသူ-အေးဂျင့်- Mozilla/4.0 (သဟဇာတဖြစ်မှု၊ MSIE 6.0၊ Windows NT 5.2၊ .NET CLR1.0.3705;)
သတင်းစကား၏ ယေဘုယျဖွဲ့စည်းပုံမှာ အတူတူပင်ဖြစ်သည်။ ခေါင်းစီး
|——- 404 Keylogger — {အမျိုးအစား} ——-|ဘယ်မှာ {အမျိုးအစား} ပေးပို့လာသော သတင်းအမျိုးအစားနှင့် ကိုက်ညီပါသည်။
အောက်ပါတို့သည် စနစ်နှင့်ပတ်သက်သော အချက်အလက်ဖြစ်ပါသည်။
__________ + VICTIM အချက်အလက် + _______
IP- {ပြင်ပ IP}
ပိုင်ရှင်အမည်- {ကွန်ပြူတာအမည်}
OS အမည်- {OS Name}
OS ဗားရှင်း- {OS ဗားရှင်း}
OS ပလပ်ဖောင်း- {ပလပ်ဖောင်း}
RAM အရွယ်အစား- {RAM အရွယ်အစား}
______________________________
နောက်ဆုံးအနေနဲ့ ဒေတာတွေကို ကူးယူပါတယ်။
SMTP
စာ၏အကြောင်းအရာမှာ အောက်ပါအတိုင်းဖြစ်သည်။ 404 K | {Message Type} | သုံးစွဲသူအမည်- {Username}.
စိတ်ဝင်စားစရာကောင်းတာက ဖောက်သည်ဆီကို စာတွေပို့တယ်။ 404 Keylogger developer များ၏ SMTP ဆာဗာကို အသုံးပြုထားသည်။
၎င်းသည် အချို့သော client များအပြင် developer တစ်ဦး၏ အီးမေးလ်ကို ဖော်ထုတ်နိုင်စေခဲ့သည်။
တယောက်က FTP
ဤနည်းလမ်းကို အသုံးပြုသည့်အခါ စုဆောင်းထားသော အချက်အလက်များကို ဖိုင်တစ်ခုတွင် သိမ်းဆည်းပြီး ထိုနေရာမှ ချက်ချင်းဖတ်ပါ။
ဤလုပ်ဆောင်ချက်၏ နောက်ကွယ်ရှိ ယုတ္တိဗေဒသည် ရှင်းရှင်းလင်းလင်းမရှိသော်လည်း ၎င်းသည် အပြုအမူဆိုင်ရာ စည်းမျဉ်းများကို ရေးသားရန်အတွက် အပိုပစ္စည်းတစ်ခုကို ဖန်တီးပေးပါသည်။
%HOMEDRIVE%%HOMEPATH%DocumentsA{မထင်သလိုနံပါတ်}.txt
Pastebin
ခွဲခြမ်းစိတ်ဖြာချိန်တွင် ဤနည်းလမ်းကို ခိုးယူထားသော စကားဝှက်များကို လွှဲပြောင်းရန်အတွက်သာ အသုံးပြုပါသည်။ ထို့အပြင်၊ ၎င်းကို ပထမနှစ်ခုအတွက် အစားထိုးအဖြစ်မဟုတ်ဘဲ ပြိုင်တူအသုံးပြုသည်။ အခြေအနေသည် “Vavaa” နှင့် ညီမျှသော ကိန်းသေတန်ဖိုးဖြစ်သည်။ ဤသည်မှာ ဖောက်သည်၏အမည်ဟု ယူဆနိုင်သည်။
API မှတစ်ဆင့် https protocol မှတစ်ဆင့် အပြန်အလှန်တုံ့ပြန်မှု ဖြစ်ပေါ်သည်။ pastebin. အဓိပ္ပါယ် api_paste_သီးသန့် ဖြစ် PASTE_UNLISTEDထိုသို့သော စာမျက်နှာများတွင် ရှာဖွေခြင်းကို တားမြစ်ထားသည့်၊ pastebin.
ကုဒ်ဝှက်ခြင်း အယ်ဂိုရီသမ်များ
အရင်းအမြစ်များမှ ဖိုင်ကို ပြန်လည်ရယူခြင်း။
payload ကို bootloader အရင်းအမြစ်များတွင် သိမ်းဆည်းထားသည်။ ကာကွယ်ပါ။ Bitmap ပုံများပုံစံဖြင့်။ ထုတ်ယူခြင်းကို အဆင့်များစွာဖြင့် ဆောင်ရွက်သည်-
- ပုံမှ bytes array တစ်ခုအား ထုတ်ယူသည်။ pixel တစ်ခုစီကို BGR အစီအစဥ်တွင် 3 bytes ၏ အစီအစဥ်အဖြစ် သဘောထားသည်။ ထုတ်ယူပြီးနောက်၊ array ၏ ပထမ 4 bytes သည် မက်ဆေ့ချ်၏ အရှည်ကို သိမ်းဆည်းသည်၊ နောက်ဆက်တွဲများသည် မက်ဆေ့ခ်ျကို သူ့အလိုလို သိမ်းဆည်းသည်။
- အဓိက က တွက်တယ်။ ဒါကိုလုပ်ဖို့၊ MD5 ကို စကားဝှက်အဖြစ် သတ်မှတ်ထားတဲ့ “ZpzwmjMJyfTNiRalKVrcSkxCN” တန်ဖိုးကနေ တွက်ချက်ပါတယ်။ ရလာတဲ့ hash ကို နှစ်ကြိမ်ရေးတယ်။
- ECB မုဒ်တွင် AES အယ်လဂိုရီသမ်ကို အသုံးပြု၍ ကုဒ်ဝှက်ခြင်းကို လုပ်ဆောင်သည်။
အန္တရာယ်ရှိသော လုပ်ဆောင်နိုင်စွမ်း
Downloader
bootloader တွင်အကောင်အထည်ဖော်ခဲ့သည်။ ကာကွယ်ပါ။.
- ဆက်သွယ်ခြင်းဖြင့် [activelink-repalce] ဖိုင်ကို ဝန်ဆောင်မှုပေးရန် အဆင်သင့်ဖြစ်ပြီဟု အတည်ပြုရန် ဆာဗာ၏ အခြေအနေကို တောင်းဆိုထားသည်။ ဆာဗာက ပြန်သင့်တယ်။ “ ON”.
- လင့်ခ် [ဒေါင်းလုဒ်လင့်ခ်အစားထိုး] payload ကို ဒေါင်းလုဒ်လုပ်ထားသည်။
- နှင့် FranchyShellcode payload ကို လုပ်ငန်းစဉ်ထဲသို့ ထိုးသွင်းသည်။ [inj-အစားထိုး].
ဒိုမိန်းခွဲခြမ်းစိတ်ဖြာမှုအတွင်း 404 ပရောဂျက်များ[.]xyz နောက်ထပ်ဥပမာများကို VirusTotal တွင်တွေ့ရှိခဲ့သည်။ 404 Keylogger၊ အပြင် loaders အမျိုးအစားများစွာ။
သမရိုးကျအားဖြင့် ၎င်းတို့ကို အမျိုးအစားနှစ်မျိုး ခွဲခြားထားသည်။
- ဒေါင်းလုဒ်လုပ်ခြင်းကို အရင်းအမြစ်မှ လုပ်ဆောင်သည်။ 404 ပရောဂျက်များ[.]xyz.
ဒေတာကို Base64 ကုဒ်ဖြင့် ပြုလုပ်ထားပြီး AES ကုဒ်ဝှက်ထားသည်။ - ဤရွေးချယ်မှုတွင် အဆင့်များစွာပါဝင်ပြီး bootloader နှင့် တွဲဖက်အသုံးပြုနိုင်ခြေများသည်။ ကာကွယ်ပါ။.
- ပထမအဆင့်တွင် data များကို loaded လုပ်ပါ။ pastebin လုပ်ဆောင်ချက်ကို အသုံးပြု၍ ကုဒ်လုပ်ထားသည်။ HexToByte.
- ဒုတိယအဆင့်တွင် loading ၏အရင်းအမြစ်သည် the 404 ပရောဂျက်များ[.]xyz. သို့သော်၊ ချုံ့ချဲ့ခြင်းနှင့် ကုဒ်ဆွဲခြင်းလုပ်ဆောင်ချက်များသည် DataStealer တွင်တွေ့ရှိရသော လုပ်ဆောင်ချက်များနှင့် ဆင်တူသည်။ ၎င်းသည် ပင်မ module တွင် bootloader လုပ်ဆောင်နိုင်စွမ်းကို အကောင်အထည်ဖော်ရန် မူလစီစဉ်ထားဖွယ်ရှိသည်။
- ဤအဆင့်တွင်၊ payload သည် compressed form ဖြင့် resource manifest တွင်ရှိပြီးသားဖြစ်သည်။ ပင်မ module တွင်လည်း အလားတူ ထုတ်ယူခြင်း လုပ်ဆောင်ချက်များကို တွေ့ရှိခဲ့သည်။
ခွဲခြမ်းစိတ်ဖြာထားသောဖိုင်များကြားတွင် ဒေါင်းလုဒ်လုပ်သူများကို တွေ့ရှိခဲ့သည်။ njRat, SpyGate နှင့် အခြား RAT များ။
keylogger
မှတ်တမ်းပေးပို့ချိန်- 30 မိနစ်။
ဇာတ်ကောင်အားလုံးကို ပံ့ပိုးထားသည်။ အထူးဇာတ်ကောင်များ လွတ်သွားကြသည်။ BackSpace နှင့် Delete သော့များအတွက် လုပ်ဆောင်နေပါသည်။ စာလုံးအကြီးအသေးသတိထားရမည်။
ClipboardLogger
မှတ်တမ်းပေးပို့ချိန်- 30 မိနစ်။
ကြားခံမဲပေးကာလ- 0,1 စက္ကန့်။
လင့်ခ်ထွက်ပြေးခြင်းကို အကောင်အထည်ဖော်ခဲ့သည်။
ScreenLogger
မှတ်တမ်းပေးပို့ချိန်- 60 မိနစ်။
ဖန်သားပြင်ဓာတ်ပုံများကို သိမ်းဆည်းထားသည်။ %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
ပြီးရင် folder ကို ပို့လိုက်ပါ။ 404k ဖယ်ရှားသည်။
စကားဝှက်ခိုးယူသူ
| browser များ | မေးလ်ဖောက်သည်များ | FTP clients များ |
|---|---|---|
| Chrome ကို | သဘောတား | FileZilla |
| Firefox ကို | Thunderbird ကို | |
| SeaMonkey | Foxmail | |
| ရေခဲနဂါး | ||
| ကျောက်တံတား | ||
| ဆိုက်ဘာဖော့စ် | ||
| Chrome ကို | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| 360Browser | ||
| ComodoDragon | ||
| 360Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| ခရိုမီယမ် | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| ပတ်လမ်း | ||
| CocCoc | ||
| မီးအိမ် | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| တေးသံစုံကဇါတ် |
ဒိုင်းနမစ်ခွဲခြမ်းစိတ်ဖြာမှုကို တန်ပြန်ခြင်း။
- လုပ်ငန်းစဉ်တစ်ခုအား ခွဲခြမ်းစိတ်ဖြာခြင်းရှိမရှိ စစ်ဆေးခြင်း။
လုပ်ငန်းစဉ်ရှာဖွေမှုကို အသုံးပြု မင်္ဂလာပါ, ProcessHacker, procexp64, procexp, ပရိုဂရမ်. အနည်းဆုံးတစ်ခုတွေ့ပါက၊ malware သည် ထွက်သည်။
- သင်သည် အတုအယောင်ပတ်ဝန်းကျင်တွင် ရှိ၊မရှိ စစ်ဆေးခြင်း။
လုပ်ငန်းစဉ်ရှာဖွေမှုကို အသုံးပြု vmtoolsd, VGAuthService, vmacthlp, VBox ဝန်ဆောင်မှု, VBoxTray. အနည်းဆုံးတစ်ခုတွေ့ပါက၊ malware သည် ထွက်သည်။
- ၅ စက္ကန့်လောက် အိပ်ပျော်သွားတယ်။
- ဒိုင်ယာလော့ဘောက်စ် အမျိုးအစား အမျိုးမျိုးကို သရုပ်ပြခြင်း။
အချို့သော sandbox များကို ကျော်ဖြတ်ရန် အသုံးပြုနိုင်သည်။
- UAC ကိုရှောင်ပါ။
မှတ်ပုံတင်ကီးကို တည်းဖြတ်ခြင်းဖြင့် လုပ်ဆောင်သည်။ EnableLUA Group Policy ဆက်တင်များတွင်။
- လက်ရှိဖိုင်တွင် "ဝှက်ထားသည်" ရည်ညွှန်းချက်ကို အသုံးပြုပါ။
- လက်ရှိဖိုင်ကို ဖျက်ပစ်နိုင်မှု။
မလှုပ်ရှားနိုင်သော အင်္ဂါရပ်များ
bootloader နှင့် main module တို့ကို ခွဲခြမ်းစိတ်ဖြာရာတွင် အပိုလုပ်ဆောင်နိုင်စွမ်းအတွက် တာဝန်ရှိသည့် လုပ်ဆောင်ချက်များကို တွေ့ရှိခဲ့သော်လည်း ၎င်းတို့ကို မည်သည့်နေရာတွင်မျှ အသုံးမပြုပါ။ ၎င်းမှာ Malware သည် ဖွံ့ဖြိုးတိုးတက်ဆဲဖြစ်ပြီး လုပ်ဆောင်နိုင်စွမ်းကို မကြာမီတွင် တိုးချဲ့လာမည်ဖြစ်သောကြောင့် ဖြစ်နိုင်သည်။
Loader AtProtect
လုပ်ငန်းစဉ်ထဲသို့ တင်ခြင်းနှင့် ထိုးသွင်းခြင်းအတွက် တာဝန်ရှိသော လုပ်ဆောင်ချက်တစ်ခုကို တွေ့ရှိခဲ့သည်။ msiexec.exe မတရား module
DataStaler
- စုစည်းမှုစနစ်
- ချုံ့ချဲ့ခြင်းနှင့် စာဝှက်ခြင်း လုပ်ဆောင်ချက်များ
ကွန်ရက်ဆက်သွယ်မှုအတွင်း ဒေတာ ကုဒ်ဝှက်ခြင်းကို မကြာမီ အကောင်အထည် ဖော်နိုင်ဖွယ်ရှိသည်။ - Antivirus လုပ်ငန်းစဉ်များကို ရပ်ဆိုင်းခြင်း။
| zlclient | Dvp95_0 | ခင်းကျင်းထားသည်။ | avgserv9 |
| egui | Ecengine | Pavw | avgserv9schedapp |
| bdagent | မလုံခြုံ | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | ashdisp |
| anubis | Findvir | Pcfwallicon | ashmaisv |
| wireshark | Fprot | Persfw | ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Win | Rav7 | Norton |
| mbam | Frw | Rav7win | Norton အလိုအလျောက်ကာကွယ်မှု |
| keyscrambler | F-Stopw | ကယ်ဆယ် | norton_av |
| _Avpcc | Iamapp | Safeweb | Nortonav |
| _Avpm | Iamserv | စကင်န် ၂ | ccsetmgr |
| Ackwin32 | Ibmasn | စကင်န် ၂ | ccevtmgr |
| တပ်စခန်း | Ibmavsp | စကန်ဖတ်ပါ။ | avadmin |
| Anti-Trojan | Icload95 | စကန်ဖတ်ပါ။ | avcenter |
| သတ္တဝါ | Iloadnt | ဝန်ဆောင်မှု ၉၅ | avgnt |
| Apvxdwin | အိုင်ကွန် | smc | ရှောင်ပါ။ |
| ATRACK | Icsup95 | SMCSERVICE | အကြောင်းကြားပါ။ |
| အလိုအလျောက်ချခြင်း | အဆင်မပြေပါ။ | ချေဆတ်သောအခါ | avscan |
| Avconsol | Iface | Sphinx | guardgui |
| Ave32 | Iomon98 | လှည်း ၂ | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Lockdown 2000 | Tbscan | clamscan |
| Avnt | သတိထားပါ | Tca | clamTray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | နင် |
| Avpcc | Moolive | TermiNET | oladin |
| Avpdos32 | MPftray | Vet95 | ကိရိယာတန်ဆာပလာ |
| Avpm | N32 စကင်န် | Vettray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | ပိတ်လိုက် |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | ရေနက် | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| အနက်ရောင် | Navwnt | Wfindv32 | vsstat |
| Blackice | NeoWatch | Zonealarm | avsynmgr |
| Cfiadmin | NISSERV | လော့ခ်ဒေါင်း ၂၀၀၀ | avcmd |
| Cfiaudit | Nisum | ကယ်တင်ခြင်း၃၂ | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | သာမာန် | avgcc | အစီအစဉ် |
| Claw95 | Norton | avgcc | preupd |
| Claw95cf | အဆင့်မြှင့်ပါ။ | avgamsvr | MsMpEng |
| သန့်ရှင်းရေး | Nvc95 | avgupsvc | MSASCui |
| သန့်စင်သူ ၃ | တပ်စခန်း | avgw | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- မိမိကိုယ်ကို ဖျက်ဆီးခြင်း။
- သတ်မှတ်ထားသောအရင်းအမြစ်မန်နီးဖက်စ်မှဒေတာကိုဖွင့်ခြင်း။
- လမ်းကြောင်းတစ်လျှောက် ဖိုင်တစ်ခုကို ကူးယူခြင်း။ %Temp%tmpG[လက်ရှိ ရက်စွဲနှင့် အချိန် မီလီစက္ကန့်များ].tmp
စိတ်ဝင်စားစရာကောင်းတာက AgentTesla malware မှာ ထပ်တူထပ်မျှလုပ်ဆောင်ချက်တစ်ခုပါရှိပါတယ်။ - Worm လုပ်ဆောင်နိုင်စွမ်း
Malware သည် ဖယ်ရှားနိုင်သော မီဒီယာစာရင်းကို လက်ခံရရှိသည် ။ Malware မိတ္တူကို အမည်ဖြင့် မီဒီယာဖိုင်စနစ်၏ အမြစ်တွင် ဖန်တီးထားသည်။ Sys.exe. Autorun ကို ဖိုင်တစ်ခု အသုံးပြု၍ လုပ်ဆောင်ပါသည်။ autorun.inf.
တိုက်ခိုက်သူပရိုဖိုင်
ကွပ်ကဲမှုစင်တာ၏ ခွဲခြမ်းစိတ်ဖြာမှုအတွင်း၊ ဆော့ဖ်ဝဲရေးသားသူ၏ အီးမေးလ်နှင့် အမည်ပြောင် - Razer၊ aka Brwa၊ Brwa65၊ HiDDen PerSOn၊ 404 Coder ကို တည်ထောင်နိုင်ခဲ့သည်။ ထို့နောက်၊ တည်ဆောက်သူနှင့်အလုပ်လုပ်ကြောင်းပြသသည့် စိတ်ဝင်စားစရာကောင်းသည့် ဗီဒီယိုတစ်ခုကို YouTube တွင် တွေ့ရှိခဲ့သည်။
ဒါက မူရင်း developer ချန်နယ်ကို ရှာတွေ့နိုင်စေတယ်။
သူသည် cryptographer များရေးသားခြင်းအတွေ့အကြုံရှိခဲ့ကြောင်းထင်ရှားသည်။ လူမှုကွန်ရက်ပေါ်ရှိ စာမျက်နှာများနှင့် လင့်ခ်များအပြင် စာရေးသူ၏ အမည်ရင်းလည်း ရှိပါသည်။ သူသည် အီရတ်တွင် နေထိုင်သူဖြစ်ခဲ့သည်။
ဒါက 404 Keylogger ဆော့ဖ်ဝဲရေးသားသူလို့ ယူဆရတဲ့ပုံပါပဲ။ ဓာတ်ပုံကို သူ့ရဲ့ ဖေ့စ်ဘုတ် ပရိုဖိုင်ကနေ ကူးယူဖော်ပြပါတယ်။
CERT Group-IB မှ ခြိမ်းခြောက်မှုအသစ် - 404 Keylogger - ဘာရိန်းရှိ ဆိုက်ဘာခြိမ်းခြောက်မှုများအတွက် XNUMX နာရီစောင့်ကြည့်ရေးနှင့် တုံ့ပြန်ရေးစင်တာ (SOC) ကို ကြေညာခဲ့သည်။
source: www.habr.com