اسان مالويئر تجزيي لاءِ وقف ڪيل مضمونن جو سلسلو جاري رکون ٿا. IN جزوي طور، اسان ٻڌايو ته ڪيئن Ilya Pomerantsev، CERT Group-IB ۾ هڪ مالويئر تجزيي جي ماهر، هڪ يورپي ڪمپني مان هڪ ميل ذريعي حاصل ڪيل فائل جو تفصيلي تجزيو ڪيو ۽ اتي اسپائي ويئر دريافت ڪيو. ايجنٽ ٽيسلا. هن آرٽيڪل ۾، ايليا بنيادي ماڊل جي قدم قدم جي تجزيو جا نتيجا مهيا ڪري ٿو. ايجنٽ ٽيسلا.
ايجنٽ ٽسلا هڪ ماڊيولر جاسوسي سافٽ ويئر آهي جيڪو مالويئر-جي-هڪ-سروس ماڊل استعمال ڪندي ورهايو ويو آهي هڪ جائز Keylogger پراڊڪٽ جي آڙ ۾. ايجنٽ ٽسلا برائوزرن، اي ميل ڪلائنٽ ۽ ايف ٽي پي ڪلائنٽ کان صارف جي سندن کي ڪڍڻ ۽ منتقل ڪرڻ جي قابل آھي سرور ڏانھن حملي ڪندڙن تائين، ڪلپ بورڊ ڊيٽا کي رڪارڊ ڪرڻ، ۽ ڊوائيس اسڪرين کي پڪڙڻ. تجزيي جي وقت، ڊولپرز جي سرڪاري ويب سائيٽ دستياب نه هئي.
ٺاھ جوڙ فائيل
هيٺ ڏنل جدول ڏيکاري ٿو ته ڪهڙي ڪارڪردگي نموني تي لاڳو ٿئي ٿي جيڪا توهان استعمال ڪري رهيا آهيو:
| بيان | قدر |
| KeyLogger استعمال پرچم | سچ |
| ScreenLogger استعمال پرچم | ڪوڙي |
| KeyLogger لاگ موڪلڻ جو وقفو منٽن ۾ | 20 |
| ScreenLogger لاگ موڪلڻ وارو وقفو منٽن ۾ | 20 |
| Backspace اهم هٿ ڪرڻ وارو پرچم. غلط - صرف لاگنگ. صحيح - پوئين ڪنجي کي ختم ڪري ٿو | ڪوڙي |
| CNC قسم. اختيارن: smtp, webpanel, ftp | smtp |
| "%filter_list%" فهرست مان عمل کي ختم ڪرڻ لاءِ ٿريڊ ايڪٽيويشن پرچم | ڪوڙي |
| UAC غير فعال پرچم | ڪوڙي |
| ٽاسڪ مئنيجر پرچم کي بند ڪريو | ڪوڙي |
| CMD غير فعال پرچم | ڪوڙي |
| هلايو ونڊو غير فعال پرچم | ڪوڙي |
| رجسٽري ڏسندڙ کي غير فعال پرچم | ڪوڙي |
| سسٽم بحال پوائنٽ پرچم کي بند ڪريو | سچ |
| ڪنٽرول پينل غير فعال پرچم | ڪوڙي |
| MSCONFIG غير فعال پرچم | ڪوڙي |
| Explorer ۾ context menu کي غير فعال ڪرڻ لاءِ جھنڊو | ڪوڙي |
| پنو پرچم | ڪوڙي |
| مکيه ماڊل کي نقل ڪرڻ لاء رستو جڏهن ان کي سسٽم ۾ پن ڪيو وڃي | %Startupfolder% %insfolder%%insname% |
| "سسٽم" ۽ "پوشیدہ" صفات کي ترتيب ڏيڻ لاء پرچم سسٽم کي مقرر ڪيل مکيه ماڊل لاء | ڪوڙي |
| سسٽم کي پن ڪرڻ دوران ٻيهر شروع ڪرڻ لاءِ پرچم کي ڇڪيو | ڪوڙي |
| مکيه ماڊل کي عارضي فولڊر ڏانهن منتقل ڪرڻ لاءِ پرچم | ڪوڙي |
| UAC بائي پاس پرچم | ڪوڙي |
| لاگنگ لاء تاريخ ۽ وقت فارميٽ | yyyy-MM-dd HH:mm:ss |
| KeyLogger لاءِ پروگرام فلٽر استعمال ڪرڻ لاءِ جھنڊو | سچ |
| پروگرام فلٽرنگ جو قسم. 1 - پروگرام جو نالو ونڊو عنوانن ۾ ڳولهيو ويو آهي 2 - پروگرام جو نالو ونڊو پروسيس جي نالي ۾ ڳوليو ويندو آهي |
1 |
| پروگرام فلٽر | "فيسبوڪ" "ٽوئٽر" "gmail" "انسٽاگرام" "فلم" "اسڪائپ" "فحش" "هيڪ" "whatsapp" "تڪرار" |
سسٽم کي مکيه ماڊل سان ڳنڍڻ
جيڪڏهن لاڳاپيل پرچم مقرر ڪيو ويو آهي، مکيه ماڊل نقل ڪيو ويو آهي ترتيب ۾ بيان ڪيل رستي ڏانهن جيئن سسٽم کي مقرر ڪيو وڃي.
config جي قيمت تي مدار رکندي، فائل کي ڏنل خاصيتون "لڪيل" ۽ "سسٽم" ڏنو ويو آهي.
Autorun ٻن رجسٽري شاخن پاران مهيا ڪيل آهي:
- HKCU سافٽ ويئرMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWARMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
جيئن ته بوٽ لوڊر ان عمل ۾ داخل ٿئي ٿو RegAsm، مکيه ماڊل لاءِ مستقل پرچم کي ترتيب ڏيڻ ڪافي دلچسپ نتيجا ڏئي ٿو. پاڻ کي نقل ڪرڻ بدران، مالويئر اصل فائل کي سسٽم سان ڳنڍيو RegAsm.exe، جنهن دوران انجيڪشن ڪئي وئي.
C&C سان رابطو
استعمال ٿيل طريقي جي باوجود، نيٽ ورڪ ڪميونيڪيشن شروع ٿئي ٿو وسيلا استعمال ڪندي مقتول جي خارجي IP حاصل ڪرڻ سان amazonaws[.]com/.
هيٺ ڏنل بيان ڪري ٿو نيٽ ورڪ رابطي جا طريقا جيڪي سافٽ ويئر ۾ پيش ڪيا ويا آهن.
ويب پينل
ڳالهه ٻولهه HTTP پروٽوڪول ذريعي ٿيندي آهي. مالويئر هيٺ ڏنل هيڊرن سان پوسٽ جي درخواست تي عمل ڪري ٿو:
- يوزر ايجنٽ: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv: 1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- ڪنيڪشن: رکڻ- جيئرو
- مواد جو قسم: ايپليڪيشن/x-www-form-urlencoded
سرور ايڊريس جي قيمت سان بيان ڪيو ويو آهي پوسٽ URL %. انڪوڊ ٿيل پيغام پيراميٽر ۾ موڪليو ويو آهي «پي». انڪوشن ميڪانيزم سيڪشن ۾ بيان ڪيو ويو آهي "انڪريپشن الگورتھم" (طريقو 2).
منتقل ٿيل پيغام هن طرح نظر اچي ٿو:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
نيم قسم پيغام جو قسم ڏيکاري ٿو:
hwid - هڪ MD5 هيش ماءُ بورڊ جي سيريل نمبر ۽ پروسيسر ID جي قدرن مان رڪارڊ ٿيل آهي. گهڻو ڪري استعمال ڪندڙ جي سڃاڻپ طور استعمال ڪيو ويو.
وقت - موجوده وقت ۽ تاريخ کي منتقل ڪرڻ جي خدمت ڪري ٿو.
pcname - جي طور تي بيان ڪيو ويو آهي <استعمال ڪندڙ جو نالو>/<ڪمپيوٽر جو نالو>.
لاگ ڊيٽا - لاگ ڊيٽا.
پاسورڊ منتقل ڪرڻ وقت، پيغام هن طرح نظر اچي ٿو:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
هيٺ ڏنل شڪل ۾ چوري ٿيل ڊيٽا جا تفصيل آهن nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.
smtp
ڳالهه ٻولهه SMTP پروٽوڪول ذريعي ٿيندي آهي. منتقل ٿيل خط HTML فارميٽ ۾ آهي. پيرا ميٽر جسم فارم آهي:
خط جي هيڊر کي عام شڪل آهي: <استعمال ڪندڙ جو نالو>/<ڪمپيوٽر جو نالو> <مواد جو قسم>. خط جو مواد، گڏوگڏ ان جي منسلڪات، انڪوڊ ٿيل نه آهن.
ڳالهه ٻولهه ايف ٽي پي پروٽوڪول ذريعي ٿيندي آهي. نالي سان هڪ فائل مخصوص سرور ڏانهن منتقل ڪئي وئي آهي <مواد جو قسم>_<صارف جو نالو>-<ڪمپيوٽر جو نالو>_<تاريخ ۽ وقت>.html. فائل جو مواد انڪوڊ ٿيل نه آهي.
انڪرپشن الگورتھم
هي ڪيس هيٺ ڏنل اينڪرپشن طريقا استعمال ڪري ٿو:
1 طريقو
هي طريقو مکيه ماڊل ۾ تارن کي انڪرپٽ ڪرڻ لاءِ استعمال ڪيو ويندو آهي. انڪرپشن لاءِ استعمال ٿيل الورورٿم آهي AES.
ان پٽ ڇھ عددي ڊيسيمل نمبر آھي. ان تي هيٺين تبديلي ڪئي وئي آهي:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
نتيجي جي قيمت شامل ڪيل ڊيٽا جي صف لاء انڊيڪس آهي.
هر صف جو عنصر هڪ تسلسل آهي DWORD. جڏهن ملائڻ DWORD بائٽس جي هڪ صف حاصل ڪئي وئي آهي: پهرين 32 بائيٽس انڪريپشن ڪيئي آهن، بعد ۾ شروعاتي ویکٹر جي 16 بائيٽس، ۽ باقي بائٽس انڪريپٽ ٿيل ڊيٽا آهن.
2 طريقو
الورورٿم استعمال ڪيو 3DES موڊ ۾ اي سي بي پوري بائيٽ ۾ پيڊنگ سان (پي سي سي ايس 7).
چاٻي جي وضاحت ڪئي وئي آهي پيٽرول ذريعي %urlkey%جڏهن ته، انڪرپشن ان جي MD5 هيش استعمال ڪري ٿي.
خراب ڪارڪردگي
مطالعي هيٺ ڏنل نموني ان جي خراب ڪارڪردگي کي لاڳو ڪرڻ لاء هيٺيان پروگرام استعمال ڪري ٿو:
چاٻي لوگر
جيڪڏهن WinAPI فنڪشن استعمال ڪندي هڪ لاڳاپيل مالويئر پرچم آهي WindowsHookEx سيٽ ڪريو ڪيبورڊ تي ڪيپريس واقعن لاءِ پنهنجو هينڊلر تفويض ڪري ٿو. هينڊلر فنڪشن شروع ٿئي ٿو فعال ونڊو جو عنوان حاصل ڪندي.
جيڪڏهن ايپليڪيشن فلٽرنگ پرچم مقرر ڪيو ويو آهي، فلٽرنگ مخصوص قسم جي بنياد تي ڪيو ويندو آهي:
- پروگرام جو نالو ونڊو عنوانن ۾ ڳوليو ويندو
- پروگرام جو نالو ونڊو عمل جي نالي ۾ نظر اچي ٿو
اڳيون، هڪ رڪارڊ شامل ڪيو ويو آهي لاگ ان فارميٽ ۾ فعال ونڊو بابت معلومات سان:
ان کان پوء، دٻايل چيڪ بابت معلومات رڪارڊ ڪئي وئي آهي:
| کيل | رڪارڊ |
| بيڪ اسپيس | بيڪ اسپيس جي اهم پروسيسنگ پرچم تي منحصر آهي: غلط - {BACK} صحيح - پوئين ڪنجي کي ختم ڪري ٿو |
| ڪئپس لوڪ | {CAPSLOCK} |
| اي سي ايس | {ESC} |
| صفحو | {PageUp} |
| نازل | ↓ |
| حذف | {DEL} |
| " | " |
| F5 | {F5} |
| & | ۽ |
| F10 | {F10} |
| ٽئب | {TAB} |
| < | < |
| > | > |
| خلا | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| END | {END} |
| F4 | {F4} |
| F2 | {F2} |
| تان Ctrl | {CTRL} |
| F6 | {F6} |
| ساڄو | → |
| Up | ↑ |
| F1 | {F1} |
| کاٻي | ← |
| صفحو هيٺ | {صفحو هيٺ} |
| داخل | {داخل ڪريو} |
| ڪري ورتي | {جیت} |
| نونمولو | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| گهر | {گهر} |
| ENTER | {ENTER} |
| ALT + ايف 4 | {ALT+F4} |
| F7 | {F7} |
| ٻي چاٻي | CapsLock ۽ Shift چابيون جي پوزيشن تي منحصر ڪري ڪردار مٿئين يا هيٺين صورت ۾ آهي |
هڪ مخصوص تعدد تي، گڏ ڪيل لاگ سرور ڏانهن موڪليو ويو آهي. جيڪڏهن منتقلي ناڪام ٿئي ٿي، لاگ ان کي فائل ۾ محفوظ ڪيو ويندو %TEMP%log.tmp شڪل ۾:
جڏهن ٽائمر فائر ڪندو، فائل کي سرور ڏانهن منتقل ڪيو ويندو.
اسڪرين لاگر
هڪ مخصوص تعدد تي، مالويئر فارميٽ ۾ هڪ اسڪرين شاٽ ٺاهي ٿو جيپي معنيٰ سان خاصيت 50 جي برابر آهي ۽ ان کي فائل ۾ محفوظ ڪري ٿو %APPDATA %<10 اکرن جو بي ترتيب ترتيب>.jpg. منتقلي کان پوء، فائل ختم ٿي وئي آهي.
ڪلپ بورڊ لاگر
جيڪڏھن مناسب جھنڊو مقرر ڪيو ويو آھي، ھيٺ ڏنل جدول جي مطابق مداخلت ٿيل متن ۾ متبادل بڻايو ويندو.
ان کان پوء، متن داخل ڪيو ويو لاگ ۾:
پاسورڊ چوريندڙ
مالويئر ھيٺ ڏنل ايپليڪيشنن مان پاسورڊ ڊائون لوڊ ڪري سگھن ٿا:
| برائوزر | ميل کلائنٽ | ايف ٽي پي کلائنٽ |
| ڪروم | لک | FileZilla |
| يقين ڪريو | تندورڊڊ | WS_FTP |
| IE/Edge | فاڪس ميل | WinSCP |
| سفاري | اوپيرا ميل | ڪور ايف ٽي پي |
| اوپرا برائوزر | IncrediMail | ايف ٽي پي نيويگيٽر |
| ياندڪس | پوڪو ميل | FlashFXP |
| ڪامودو | ايوراورا | SmartFTP |
| ڪروم پلس | بيٽ | ايف ٽي پي ڪمانڊر |
| Chromium | پوسٽ بوڪس | |
| مشعل | ڪلز ميل | |
| 7Star | ||
| دوست | ||
| بهادر سافٽ ويئر | جابر گراهڪ | VPN کلائنٽ |
| سينٽر برائوزر | Psi/Psi+ | اوپن وي پي اين |
| چيدوٽ | ||
| ڪوڪوڪ | ||
| عناصر برائوزر | ڊائون لوڊ مينيجرز | |
| ايپڪ رازداري برائوزر | انٽرنيٽ ڊائون لوڊ مئنيجر | |
| ڪوميٽا | JDownloader | |
| مدار | ||
| اسپتيڪن | ||
| uCozMedia | ||
| ويivalدي | ||
| سامونڊي بندر | ||
| فلڪ برائوزر | ||
| يو سي برائوزر | ||
| بليڪ هاڪ | ||
| سائبر فاڪس | ||
| K-meleon | ||
| برفاني | ||
| آئس ڊريگن | ||
| ڪليمون | ||
| waterfox | ||
| Falkon برائوزر |
متحرڪ تجزيي جي مقابلي ۾
- فنڪشن استعمال ڪندي سمهڻ. توهان کي وقت ختم ٿيڻ سان ڪجهه سينڊ باڪسز کي بائي پاس ڪرڻ جي اجازت ڏئي ٿي
- هڪ سلسلي کي تباهه ڪرڻ زون. سڃاڻپ ڪندڙ. توهان کي انٽرنيٽ تان فائل ڊائون لوڊ ڪرڻ جي حقيقت کي لڪائڻ جي اجازت ڏئي ٿي
- پيراگراف ۾ %filter_list% پروسيس جي هڪ فهرست بيان ڪري ٿو ته مالويئر هڪ سيڪنڊ جي وقفي تي ختم ٿي ويندي
- ڊسڪشن UAC
- ٽاسڪ مئنيجر کي غير فعال ڪرڻ
- ڊسڪشن سي ايم ڊي
- ونڊو کي بند ڪرڻ "چل"
- ڪنٽرول پينل کي غير فعال ڪرڻ
- اوزار کي بند ڪرڻ ري اي ايڊٽ
- سسٽم جي بحالي واري پوائنٽ کي بند ڪرڻ
- ايڪسپلورر ۾ لاڳاپيل مينيو کي بند ڪريو
- ڊسڪشن MSCONFIG
- پاسو يويڪ:
مکيه ماڊل جي غير فعال خاصيتون
مکيه ماڊل جي تجزيي دوران، افعال جي نشاندهي ڪئي وئي جيڪي سڄي نيٽ ورڪ ۾ ڦهلائڻ ۽ مائوس جي پوزيشن کي ٽريڪ ڪرڻ جا ذميوار هئا.
ڪريم
هٽائڻ واري ميڊيا کي ڳنڍڻ لاء واقعا هڪ الڳ سلسلي ۾ مانيٽر ڪيا ويا آهن. جڏهن ڳنڍيل هجي، نالي سان مالويئر فائل سسٽم جي روٽ ڏانهن نقل ڪيو ويندو آهي scr.exe، جنهن کان پوءِ اهو ايڪسٽينشن سان فائلن کي ڳولهي ٿو لنڪ. هر ڪنهن جي ٽيم لنڪ ۾ تبديليون cmd.exe /c شروع ڪريو scr.exe ۽ شروع ڪريو <اصل حڪم> ۽ نڪرڻ.
ميڊيا جي روٽ تي هر ڊاريڪٽري کي هڪ خاصيت ڏني وئي آهي "لڪيل" ۽ ايڪسٽينشن سان هڪ فائل ٺاهي وئي آهي لنڪ لڪيل ڊاريڪٽري ۽ حڪم جي نالي سان cmd.exe /c شروع ڪريو scr.exe&explorer /root، "%CD%<DIRECTORY NAME>" ۽ نڪرڻ.
ماؤس ٽريڪٽر
مداخلت ڪرڻ جو طريقو ساڳيو آهي جيڪو ڪيبورڊ لاء استعمال ڪيو ويو آهي. هي ڪارڪردگي اڃا ترقي هيٺ آهي.
فائل سرگرمي
| واٽ | بيان |
| %temp%temp.tmp | UAC بائي پاس جي ڪوششن لاءِ ڪائونٽر تي مشتمل آھي |
| %Startupfolder%%infolder%%insname% | رستو HPE سسٽم کي مقرر ڪيو وڃي |
| %Temp%tmpG{موجوده وقت ملي سيڪنڊن ۾}.tmp | مکيه ماڊل جي بيڪ اپ لاء رستو |
| %Temp%log.tmp | لاگ فائل |
| %AppData%{10 اکرن جو هڪ بي ترتيب ترتيب}.jpeg | اسڪرين شاٽ |
| C:UsersPublic{10 اکرن جو هڪ بي ترتيب ترتيب}.vbs | ھڪڙو vbs فائل ڏانھن رستو جيڪو بوٽ لوڊ ڪندڙ سسٽم سان ڳنڍڻ لاء استعمال ڪري سگھي ٿو |
| %Temp%{ڪسٽم فولڊر جو نالو{فائل جو نالو} | پاڻ کي سسٽم سان ڳنڍڻ لاء بوٽ لوڊ ڪندڙ طرفان استعمال ڪيل رستو |
حملو ڪندڙ پروفائل
هارڊ ڪوڊ ٿيل تصديق واري ڊيٽا جي مهرباني، اسان ڪمانڊ سينٽر تائين رسائي حاصل ڪرڻ جي قابل هئا.
هي اسان کي حملي ڪندڙن جي آخري اي ميل کي سڃاڻڻ جي اجازت ڏني:
جنيد[.]۾***@gmail[.]com.
ڪمانڊ سينٽر جو ڊومين نالو ميل ڏانهن رجسٽر ٿيل آهي sg***@gmail[.]com.
ٿڪل
حملي ۾ استعمال ٿيل مالويئر جي تفصيلي تجزيي دوران، اسان ان جي ڪارڪردگي کي قائم ڪرڻ ۽ هن معاملي سان لاڳاپيل سمجھوتي جي اشارن جي مڪمل فهرست حاصل ڪرڻ جي قابل ٿي ويا. مالويئر نيٽ ورڪ رابطي جي ميکانيزم کي سمجھڻ ان کي ممڪن بڻايو ته معلومات جي حفاظتي اوزار جي آپريشن کي ترتيب ڏيڻ لاء سفارشون ڏيو، ۽ گڏوگڏ مستحڪم IDS ضابطن کي لکو.
مکيه خطرو ايجنٽ ٽيسلا DataStealer وانگر انهي ۾ ان کي سسٽم کي انجام ڏيڻ جي ضرورت ناهي يا ان جي ڪمن کي انجام ڏيڻ لاء ڪنٽرول ڪمان جو انتظار ڪريو. هڪ دفعو مشين تي، اهو فوري طور تي نجي معلومات گڏ ڪرڻ شروع ڪري ٿو ۽ ان کي CnC ڏانهن منتقل ڪري ٿو. هي جارحانه رويو ڪجهه طريقن سان ransomware جي رويي سان ملندڙ جلندڙ آهي، صرف فرق اهو آهي ته بعد ۾ نيٽ ورڪ ڪنيڪشن جي ضرورت ناهي. جيڪڏهن توهان هن خاندان سان ملن ٿا، متاثر ٿيل سسٽم کي پاڻ کي مالويئر کان صاف ڪرڻ کان پوء، توهان کي لازمي طور تي سڀئي پاسورڊ تبديل ڪرڻ گهرجي، جيڪي گهٽ ۾ گهٽ نظرياتي طور تي، مٿي ڏنل فهرستن مان هڪ ايپليڪيشن ۾ محفوظ ٿي سگهن ٿيون.
اڳتي ڏسندي، چون ٿا ته حملي آور موڪلائي رهيا آهن ايجنٽ ٽيسلا, ابتدائي بوٽ لوڊر اڪثر تبديل ڪيو ويندو آهي. هي توهان کي اجازت ڏئي ٿو ته حملي جي وقت جامد اسڪينر ۽ هورسٽڪ تجزيه نگارن کان اڻڄاڻ رهڻ. ۽ هن خاندان جو رجحان فوري طور تي پنهنجون سرگرميون شروع ڪري ٿو، سسٽم مانيٽر کي بيڪار بڻائي ٿو. AgentTesla کي منهن ڏيڻ جو بهترين طريقو هڪ سينڊ باڪس ۾ ابتدائي تجزيو آهي.
هن سيريز جي ٽئين مضمون ۾ اسين استعمال ٿيل ٻين بوٽ لوڊرز تي نظر ڪنداسين ايجنٽ ٽيسلا، ۽ انهن جي نيم خودڪار پيڪنگ جي عمل جو پڻ مطالعو ڪريو. نه وڃايو!
هاش
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
سي سي سي
| URL جو |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
ريگ ڪي
| رجسٽري |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{اسڪرپٽ جو نالو} |
| HKCUSsoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWARMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
ميٽڪس
ڪي به اشارا نه آهن.
فائلون
| فائل سرگرمي |
| %temp%temp.tmp |
| %Startupfolder%%infolder%%insname% |
| %Temp%tmpG{موجوده وقت ملي سيڪنڊن ۾}.tmp |
| %Temp%log.tmp |
| %AppData%{10 اکرن جو هڪ بي ترتيب ترتيب}.jpeg |
| C:UsersPublic{10 اکرن جو هڪ بي ترتيب ترتيب}.vbs |
| %Temp%{ڪسٽم فولڊر جو نالو{فائل جو نالو} |
نموني معلومات
| نالو | اڻڄاتل |
| ايم ڊي اينيمڪس | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| قسم | پي اي (.NET) |
| ڪرائون سائيز واري | 327680 |
| اصل نالو | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| تاريخ اسٽيمپ | 01.07.2019 |
| گڏ ڪرڻ | VB.NET |
| نالو | IElibrary.dll |
| ايم ڊي اينيمڪس | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| قسم | PE (.NET DLL) |
| ڪرائون سائيز واري | 16896 |
| اصل نالو | IElibrary.dll |
| تاريخ اسٽيمپ | 11.10.2016 |
| گڏ ڪرڻ | Microsoft Linker (48.0*) |
جو ذريعو: www.habr.com