RATKing: தொலைநிலை அணுகல் ட்ரோஜான்களுடன் புதிய பிரச்சாரம்
மே மாத இறுதியில், ரிமோட் அக்சஸ் ட்ரோஜன் (RAT) மால்வேரை விநியோகிப்பதற்கான ஒரு பிரச்சாரத்தை நாங்கள் கண்டறிந்தோம் - இது தாக்குபவர்கள் பாதிக்கப்பட்ட கணினியை தொலைவிலிருந்து கட்டுப்படுத்த அனுமதிக்கும் நிரல்களாகும்.
நாங்கள் ஆய்வு செய்த குழுவானது நோய்த்தொற்றுக்கு எந்த குறிப்பிட்ட RAT குடும்பத்தையும் தேர்ந்தெடுக்கவில்லை என்பதன் மூலம் வேறுபடுத்தப்பட்டது. பல ட்ரோஜான்கள் (அனைத்தும் பொது களத்தில்) பிரச்சாரத்திற்குள் தாக்குதல்களில் காணப்பட்டன. இந்த அம்சத்துடன், குழுவானது எலி ராஜாவை நினைவூட்டியது, இது பின்னிப் பிணைந்த வால்களைக் கொண்ட கொறித்துண்ணிகளைக் கொண்டுள்ளது.
கே.என். ரோசிகோவ் "எலிகள் மற்றும் எலி போன்ற கொறித்துண்ணிகள், பொருளாதார அடிப்படையில் மிக முக்கியமானவை" (1908) எழுதிய மோனோகிராஃபில் இருந்து அசல் எடுக்கப்பட்டது.
இந்த உயிரினத்தின் நினைவாக, நாங்கள் கருதும் குழுவிற்கு RATKing என்று பெயரிட்டோம். இந்த இடுகையில், தாக்குபவர்கள் எவ்வாறு தாக்குதலை நடத்தினர், அவர்கள் என்ன கருவிகளைப் பயன்படுத்தினார்கள் என்பதைப் பற்றி விரிவாகப் பேசுவோம், மேலும் இந்த பிரச்சாரத்திற்கான பண்புக்கூறு பற்றிய எங்கள் எண்ணங்களைப் பகிர்ந்து கொள்வோம்.
தாக்குதலின் முன்னேற்றம்
இந்த பிரச்சாரத்தின் அனைத்து தாக்குதல்களும் பின்வரும் வழிமுறையின்படி நடந்தன:
Google இயக்ககத்திற்கான இணைப்புடன் ஃபிஷிங் மின்னஞ்சலைப் பயனர் பெற்றுள்ளார்.
இணைப்பைப் பயன்படுத்தி, பாதிக்கப்பட்டவர் ஒரு தீங்கிழைக்கும் VBS ஸ்கிரிப்டைப் பதிவிறக்கினார், அது விண்டோஸ் பதிவேட்டில் இறுதிப் பேலோடை ஏற்றுவதற்கு DLL நூலகத்தைக் குறிப்பிட்டது மற்றும் அதைச் செயல்படுத்த PowerShell ஐத் தொடங்கியது.
DLL லைப்ரரி இறுதி பேலோடை செலுத்தியது - உண்மையில், தாக்குபவர்களால் பயன்படுத்தப்படும் RAT களில் ஒன்று - கணினி செயல்பாட்டில் மற்றும் பாதிக்கப்பட்ட கணினியில் ஒரு இடத்தைப் பெறுவதற்காக VBS ஸ்கிரிப்டை autorun இல் பதிவு செய்தது.
இறுதி பேலோட் ஒரு கணினி செயல்பாட்டில் செயல்படுத்தப்பட்டது மற்றும் பாதிக்கப்பட்ட கணினியைக் கட்டுப்படுத்தும் திறனை தாக்குபவர்களுக்கு வழங்கியது.
திட்டவட்டமாக இதை இவ்வாறு குறிப்பிடலாம்:
அடுத்து, தீம்பொருள் விநியோக பொறிமுறையில் நாங்கள் ஆர்வமாக இருப்பதால், முதல் மூன்று நிலைகளில் கவனம் செலுத்துவோம். தீம்பொருளின் செயல்பாட்டின் பொறிமுறையை நாங்கள் விரிவாக விவரிக்க மாட்டோம். அவை பரவலாகக் கிடைக்கின்றன - சிறப்பு மன்றங்களில் விற்கப்படுகின்றன, அல்லது திறந்த மூல திட்டங்களாக விநியோகிக்கப்படுகின்றன - எனவே அவை RATKing குழுவிற்கு தனித்துவமானது அல்ல.
தாக்குதல் நிலைகளின் பகுப்பாய்வு
நிலை 1. ஃபிஷிங் மின்னஞ்சல்
பாதிக்கப்பட்டவர் தீங்கிழைக்கும் மின்னஞ்சலைப் பெறுவதிலிருந்து தாக்குதல் தொடங்கியது (தாக்குபவர்கள் உரையுடன் வெவ்வேறு டெம்ப்ளேட்களைப் பயன்படுத்தினர்; கீழே உள்ள ஸ்கிரீன்ஷாட் எடுத்துக்காட்டுகளில் ஒன்றைக் காட்டுகிறது). செய்தியில் முறையான களஞ்சியத்திற்கான இணைப்பு உள்ளது drive.google.com, இது PDF வடிவத்தில் ஆவணப் பதிவிறக்கப் பக்கத்திற்கு வழிவகுத்தது.
ஃபிஷிங் மின்னஞ்சல் உதாரணம்
இருப்பினும், உண்மையில், இது ஒரு PDF ஆவணம் அல்ல, ஆனால் VBS ஸ்கிரிப்ட்.
மேலே உள்ள ஸ்கிரீன்ஷாட்டில் உள்ள மின்னஞ்சலில் உள்ள இணைப்பைக் கிளிக் செய்தபோது, பெயருடன் ஒரு கோப்பு Cargo Flight Details.vbs. இந்த வழக்கில், தாக்குதல் நடத்தியவர்கள் கோப்பை ஒரு முறையான ஆவணமாக மறைக்க முயற்சிக்கவில்லை.
அதே நேரத்தில், இந்த பிரச்சாரத்தின் ஒரு பகுதியாக, பெயருடன் ஒரு ஸ்கிரிப்டைக் கண்டுபிடித்தோம் Cargo Trip Detail.pdf.vbs. விண்டோஸ் முன்னிருப்பாக கோப்பு நீட்டிப்புகளை மறைப்பதால், இது ஏற்கனவே முறையான PDFக்கு அனுப்பப்படலாம். உண்மை, இந்த விஷயத்தில், VBS ஸ்கிரிப்டுடன் தொடர்புடைய அதன் ஐகானால் சந்தேகம் இன்னும் தூண்டப்படலாம்.
இந்த கட்டத்தில், பாதிக்கப்பட்டவர் ஏமாற்றத்தை அடையாளம் காண முடியும்: பதிவிறக்கம் செய்யப்பட்ட கோப்புகளை ஒரு நொடி பாருங்கள். இருப்பினும், இதுபோன்ற ஃபிஷிங் பிரச்சாரங்களில், தாக்குபவர்கள் பெரும்பாலும் கவனக்குறைவான அல்லது அவசரமான பயனரை நம்பியிருக்கிறார்கள்.
நிலை 2. VBS ஸ்கிரிப்ட் செயல்பாடு
பயனர் அலட்சியத்தால் திறக்கக்கூடிய VBS ஸ்கிரிப்ட், விண்டோஸ் பதிவேட்டில் DLL நூலகத்தைப் பதிவு செய்தது. ஸ்கிரிப்ட் குழப்பமடைந்தது: அதில் உள்ள வரிகள் ஒரு தன்னிச்சையான எழுத்து மூலம் பிரிக்கப்பட்ட பைட்டுகளின் வடிவத்தில் எழுதப்பட்டன.
தெளிவற்ற ஸ்கிரிப்ட்டின் எடுத்துக்காட்டு
deobfuscation algorithm மிகவும் எளிமையானது: ஒவ்வொரு மூன்றாவது எழுத்தும் தெளிவற்ற சரத்தில் இருந்து விலக்கப்பட்டது, அதன் பிறகு முடிவு அடிப்படை 16 இலிருந்து அசல் சரத்திற்கு டிகோட் செய்யப்பட்டது. உதாரணமாக, மதிப்பிலிருந்து 57Q53s63t72s69J70r74e2El53v68m65j6CH6Ct (மேலே உள்ள ஸ்கிரீன்ஷாட்டில் சிறப்பிக்கப்பட்டுள்ளது) இதன் விளைவாக வரும் வரி WScript.Shell.
சரங்களை நீக்க, நாங்கள் பைதான் செயல்பாட்டைப் பயன்படுத்தினோம்:
def decode_str(data_enc):
return binascii.unhexlify(''.join([data_enc[i:i+2] for i in range(0, len(data_enc), 3)]))
கீழே, வரிகள் 9-10 இல், டிஎல்எல் கோப்பில் deobfuscation விளைவித்த மதிப்பை நாங்கள் முன்னிலைப்படுத்துகிறோம். அவர்தான் பவர்ஷெல்லைப் பயன்படுத்தி அடுத்த கட்டத்தில் தொடங்கப்பட்டார்.
தெளிவற்ற DLL உடன் சரம்
விபிஎஸ் ஸ்கிரிப்டில் உள்ள ஒவ்வொரு செயல்பாடும் சரங்களை நீக்கியதால் செயல்படுத்தப்பட்டது.
ஸ்கிரிப்டை இயக்கிய பிறகு, செயல்பாடு அழைக்கப்பட்டது wscript.sleep - அதன் உதவியுடன் ஒத்திவைக்கப்பட்ட மரணதண்டனை செய்யப்பட்டது.
அடுத்து, ஸ்கிரிப்ட் விண்டோஸ் பதிவேட்டில் வேலை செய்தது. இதற்காக அவர் WMI தொழில்நுட்பத்தைப் பயன்படுத்தினார். அதன் உதவியுடன், ஒரு தனிப்பட்ட விசை உருவாக்கப்பட்டது, மற்றும் இயங்கக்கூடிய கோப்பின் உடல் அதன் அளவுருவில் எழுதப்பட்டது. பின்வரும் கட்டளையைப் பயன்படுத்தி WMI வழியாக பதிவேட்டில் அணுகப்பட்டது:
VBS ஸ்கிரிப்ட் மூலம் பதிவேட்டில் செய்யப்பட்ட ஒரு நுழைவு
நிலை 3. DLL உடன் பணிபுரிதல்
மூன்றாவது கட்டத்தில், தீங்கிழைக்கும் DLL ஆனது இறுதி பேலோடை பதிவிறக்கம் செய்து, கணினி செயல்முறையில் செலுத்தியது, மேலும் பயனர் கணினியில் உள்நுழையும்போது VBS ஸ்கிரிப்ட் தானாகவே தொடங்குவதை உறுதி செய்தது.
பவர்ஷெல் வழியாக இயக்கவும்
பவர்ஷெல்லில் பின்வரும் கட்டளையைப் பயன்படுத்தி DLL செயல்படுத்தப்பட்டது:
பெயருடன் பதிவு மதிப்புத் தரவைப் பெற்றது rnd_value_name — இந்தத் தரவு .Net இயங்குதளத்தில் எழுதப்பட்ட DLL கோப்பாகும்;
செயல்முறை நினைவகத்தில் விளைவாக .Net தொகுதி ஏற்றப்பட்டது powershell.exe செயல்பாட்டைப் பயன்படுத்தி [System.Threading.Thread]::GetDomain().Load()(லோட்() செயல்பாட்டின் விரிவான விளக்கம் மைக்ரோசாப்ட் இணையதளத்தில் கிடைக்கும்);
செயல்பாட்டை நிகழ்த்தினார் GUyyvmzVhebFCw]::EhwwK() - DLL நூலகத்தின் செயல்படுத்தல் அதனுடன் தொடங்கியது - அளவுருக்கள் vbsScriptPath, xorKey, vbsScriptName. அளவுரு xorKey இறுதி பேலோடை மறைகுறியாக்க விசை மற்றும் அளவுருக்கள் சேமிக்கப்பட்டது vbsScriptPath и vbsScriptName ஆட்டோரனில் VBS ஸ்கிரிப்டை பதிவு செய்வதற்காக மாற்றப்பட்டது.
DLL நூலகத்தின் விளக்கம்
அதன் சிதைந்த வடிவத்தில், ஏற்றி இப்படி இருந்தது:
சிதைந்த வடிவத்தில் ஏற்றி (டிஎல்எல் நூலகத்தின் செயலாக்கம் தொடங்கிய செயல்பாடு சிவப்பு நிறத்தில் அடிக்கோடிடப்பட்டுள்ளது)
பூட்லோடர் .நெட் ரியாக்டர் பாதுகாப்பாளரால் பாதுகாக்கப்படுகிறது. இந்த பாதுகாப்பாளரை அகற்றுவதில் de4dot பயன்பாடு ஒரு சிறந்த வேலை செய்கிறது.
இந்த ஏற்றி:
கணினி செயல்முறையில் பேலோடை செலுத்தியது (இந்த எடுத்துக்காட்டில் அது இருந்தது svchost.exe);
மறைகுறியாக்கப்பட்ட இரண்டு தரவுத் தொகுப்புகள் (array и array2 ஸ்கிரீன்ஷாட்டில்). அவை முதலில் gzip ஐப் பயன்படுத்தி சுருக்கப்பட்டு விசையுடன் XOR வழிமுறையைப் பயன்படுத்தி குறியாக்கம் செய்யப்பட்டன. xorKey;
ஒதுக்கப்பட்ட நினைவக பகுதிகளுக்கு தரவு நகலெடுக்கப்பட்டது. இருந்து தரவு array - சுட்டிக்காட்டப்பட்ட நினைவக பகுதிக்கு intPtr (payload pointer ஸ்கிரீன்ஷாட்டில்); இருந்து தரவு array2 - சுட்டிக்காட்டப்பட்ட நினைவக பகுதிக்கு intPtr2 (shellcode pointer ஸ்கிரீன்ஷாட்டில்);
செயல்பாடு என்று அழைக்கப்படுகிறது CallWindowProcA(описание இந்த செயல்பாடு மைக்ரோசாஃப்ட் இணையதளத்தில் கிடைக்கிறது) பின்வரும் அளவுருக்களுடன் (அளவுருக்களின் பெயர்கள் கீழே பட்டியலிடப்பட்டுள்ளன, ஸ்கிரீன்ஷாட்டில் அவை ஒரே வரிசையில் உள்ளன, ஆனால் வேலை மதிப்புகளுடன்):
lpPrevWndFunc — இருந்து தரவு சுட்டிக்காட்டி array2;
hWnd - இயங்கக்கூடிய கோப்பிற்கான பாதையைக் கொண்ட ஒரு சரத்திற்கான சுட்டி svchost.exe;
Msg — இருந்து தரவு சுட்டிக்காட்டி array;
wParam, lParam - செய்தி அளவுருக்கள் (இந்த வழக்கில், இந்த அளவுருக்கள் பயன்படுத்தப்படவில்லை மற்றும் மதிப்புகள் 0);
ஒரு கோப்பை உருவாக்கியது %AppData%MicrosoftWindowsStart MenuProgramsStartup<name>.urlஅங்கு <name> - இவை அளவுருவின் முதல் 4 எழுத்துக்கள் vbsScriptName (ஸ்கிரீன்ஷாட்டில், இந்த செயலுடன் ஒரு குறியீடு துண்டு கட்டளையுடன் தொடங்குகிறது File.Copy) இதனால், பயனர் கணினியில் உள்நுழையும்போது மால்வேர் தானாகவே இயங்கும் கோப்புகளின் பட்டியலில் ஒரு URL கோப்பைச் சேர்த்தது மற்றும் அதன் மூலம் பாதிக்கப்பட்ட கணினியுடன் இணைக்கப்பட்டது. URL கோப்பில் ஸ்கிரிப்ட்டுக்கான இணைப்பு உள்ளது:
உட்செலுத்துதல் எவ்வாறு மேற்கொள்ளப்பட்டது என்பதைப் புரிந்து கொள்ள, தரவுத் தொகுப்புகளை மறைகுறியாக்கினோம் array и array2. இதைச் செய்ய, பின்வரும் பைதான் செயல்பாட்டைப் பயன்படுத்தினோம்:
def decrypt(data, key):
return gzip.decompress(
bytearray([data[i] ^ key[i % len(key)] for i in range(len(data))])[4:])
இதன் விளைவாக, நாங்கள் கண்டுபிடித்தோம்:
array ஒரு PE கோப்பு - இது இறுதி பேலோட் ஆகும்;
array2 ஊசி போடுவதற்கு தேவையான ஷெல்கோடு.
வரிசையிலிருந்து ஷெல்கோட் array2 செயல்பாட்டு மதிப்பாக அனுப்பப்பட்டது lpPrevWndFunc விழாவிற்கு CallWindowProcA. lpPrevWndFunc - ஒரு கால்பேக் செயல்பாடு, அதன் முன்மாதிரி இதுபோல் தெரிகிறது:
எனவே நீங்கள் செயல்பாட்டை இயக்கும் போது CallWindowProcA அளவுருக்களுடன் hWnd, Msg, wParam, lParam வரிசையிலிருந்து ஷெல்கோட் செயல்படுத்தப்படுகிறது array2 வாதங்களுடன் hWnd и Msg. hWnd இயங்கக்கூடிய கோப்பிற்கான பாதையைக் கொண்ட ஒரு சரத்திற்கான சுட்டி ஆகும் svchost.exeமற்றும் Msg - இறுதி பேலோடுக்கான சுட்டி.
ஷெல்கோட் இலிருந்து செயல்பாட்டு முகவரிகளைப் பெற்றது kernel32.dll и ntdll32.dll அவர்களின் பெயர்களில் இருந்து ஹாஷ் மதிப்புகள் அடிப்படையில் மற்றும் செயல்முறை நினைவகத்தில் இறுதி பேலோடை செலுத்தியது svchost.exeசெயல்முறை ஹாலோவிங் நுட்பத்தைப் பயன்படுத்தி (இதைப் பற்றி நீங்கள் மேலும் படிக்கலாம் கட்டுரை) ஷெல்கோடை உட்செலுத்தும்போது:
ஒரு செயல்முறையை உருவாக்கியது svchost.exe செயல்பாட்டைப் பயன்படுத்தி இடைநிறுத்தப்பட்ட நிலையில் CreateProcessW;
செயல்முறையின் முகவரி இடத்தில் பிரிவின் காட்சியை மறைத்தது svchost.exe செயல்பாட்டைப் பயன்படுத்தி NtUnmapViewOfSection. இதனால், நிரல் அசல் செயல்முறையின் நினைவகத்தை விடுவித்தது svchost.exe, இந்த முகவரியில் பேலோடுக்கான நினைவகத்தை ஒதுக்குவதற்காக;
செயல்முறை முகவரி இடத்தில் பேலோடுக்கான நினைவகம் ஒதுக்கப்பட்டது svchost.exe செயல்பாட்டைப் பயன்படுத்தி VirtualAllocEx;
ஊசி செயல்முறையின் ஆரம்பம்
பேலோடின் உள்ளடக்கங்களை செயல்முறை முகவரி இடத்தில் எழுதினார் svchost.exe செயல்பாட்டைப் பயன்படுத்தி WriteProcessMemory (கீழே உள்ள ஸ்கிரீன்ஷாட்டில் உள்ளதைப் போல);
செயல்முறையை மீண்டும் தொடங்கியது svchost.exe செயல்பாட்டைப் பயன்படுத்தி ResumeThread.
ஊசி செயல்முறையை முடித்தல்
பதிவிறக்கக்கூடிய தீம்பொருள்
விவரிக்கப்பட்ட செயல்களின் விளைவாக, பாதிக்கப்பட்ட கணினியில் பல RAT-வகுப்பு தீம்பொருள் ஒன்று நிறுவப்பட்டது. கீழே உள்ள அட்டவணை, தாக்குதலில் பயன்படுத்தப்பட்ட தீம்பொருளைப் பட்டியலிடுகிறது, அதே கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்தை மாதிரிகள் அணுகியதால், தாக்குபவர்களின் ஒரு குழுவை நாம் நம்பிக்கையுடன் கூறலாம்.
ஒரே கட்டுப்பாட்டு சேவையகத்துடன் விநியோகிக்கப்பட்ட தீம்பொருளின் எடுத்துக்காட்டுகள்
இங்கு இரண்டு விஷயங்கள் கவனிக்கத்தக்கவை.
முதலாவதாக, தாக்குபவர்கள் ஒரே நேரத்தில் பல்வேறு RAT குடும்பங்களைப் பயன்படுத்தினர். அறியப்பட்ட சைபர் குழுக்களுக்கு இந்த நடத்தை பொதுவானது அல்ல, அவை பெரும்பாலும் தங்களுக்கு நன்கு தெரிந்த அதே கருவிகளின் தொகுப்பைப் பயன்படுத்துகின்றன.
இரண்டாவதாக, RATKing மால்வேரைப் பயன்படுத்தியது, அது சிறப்பு மன்றங்களில் சிறிய விலைக்கு விற்கப்படுகிறது அல்லது ஒரு திறந்த மூல திட்டமாகும்.
பிரச்சாரத்தில் பயன்படுத்தப்படும் தீம்பொருளின் முழுமையான பட்டியல்-ஒரு முக்கியமான எச்சரிக்கையுடன்-கட்டுரையின் முடிவில் கொடுக்கப்பட்டுள்ளது.
குழு பற்றி
விவரிக்கப்பட்ட தீங்கிழைக்கும் பிரச்சாரத்தை அறியப்பட்ட தாக்குபவர்களுக்கு எங்களால் கூற முடியாது. இப்போதைக்கு, இந்தத் தாக்குதல்கள் அடிப்படையில் ஒரு புதிய குழுவால் நடத்தப்பட்டதாக நாங்கள் நம்புகிறோம். நாங்கள் ஏற்கனவே ஆரம்பத்தில் எழுதியது போல், நாங்கள் அதை RATKing என்று அழைத்தோம்.
VBS ஸ்கிரிப்டை உருவாக்க, குழுவானது பயன்பாட்டுக்கு ஒத்த ஒரு கருவியைப் பயன்படுத்தியிருக்கலாம் VBS-கிரிப்டர் டெவலப்பரிடமிருந்து NYAN-x-CAT. இந்த நிரல் தாக்குபவர்களின் ஸ்கிரிப்டுடன் உருவாக்கும் ஸ்கிரிப்ட்டின் ஒற்றுமையால் இது குறிக்கப்படுகிறது. குறிப்பாக, அவர்கள் இருவரும்:
ஒரு செயல்பாட்டைப் பயன்படுத்தி தாமதமாக செயல்படுத்தவும் Sleep;
WMI ஐப் பயன்படுத்தவும்;
இயங்கக்கூடிய கோப்பின் உடலை ஒரு பதிவேட்டில் முக்கிய அளவுருவாக பதிவு செய்யவும்;
இந்த கோப்பை அதன் சொந்த முகவரி இடத்தில் PowerShell ஐப் பயன்படுத்தி இயக்கவும்.
தெளிவுக்காக, பதிவேட்டில் இருந்து ஒரு கோப்பை இயக்க PowerShell கட்டளையை ஒப்பிடவும், இது VBS-Crypter ஐப் பயன்படுத்தி உருவாக்கப்பட்ட ஸ்கிரிப்ட் மூலம் பயன்படுத்தப்படுகிறது:
தாக்குபவர்கள் NYAN-x-CAT இன் மற்றொரு பயன்பாட்டை பேலோடுகளில் ஒன்றாகப் பயன்படுத்தினர் என்பதை நினைவில் கொள்ளவும். LimerAT.
C&C சேவையகங்களின் முகவரிகள் RATKing இன் மற்றொரு தனித்துவமான அம்சத்தைக் குறிப்பிடுகின்றன: குழு மாறும் DNS சேவைகளை விரும்புகிறது (IoC உடன் அட்டவணையில் C&Cகளின் பட்டியலைப் பார்க்கவும்).
IoC
கீழே உள்ள அட்டவணையில் VBS ஸ்கிரிப்ட்களின் முழுமையான பட்டியல் உள்ளது, அவை பெரும்பாலும் விவரிக்கப்பட்ட பிரச்சாரத்திற்கு காரணமாக இருக்கலாம். இந்த அனைத்து ஸ்கிரிப்ட்களும் ஒரே மாதிரியானவை மற்றும் ஏறக்குறைய ஒரே மாதிரியான செயல்களைச் செய்கின்றன. அவை அனைத்தும் RAT வகுப்பு தீம்பொருளை நம்பகமான விண்டோஸ் செயல்பாட்டில் செலுத்துகின்றன. அவர்கள் அனைவரும் Dynamic DNS சேவைகளைப் பயன்படுத்தி பதிவு செய்யப்பட்ட C&C முகவரிகளைக் கொண்டுள்ளனர்.
இருப்பினும், இந்த அனைத்து ஸ்கிரிப்ட்களும் ஒரே தாக்குதலாளிகளால் விநியோகிக்கப்பட்டன என்று எங்களால் கூற முடியாது, அதே C&C முகவரிகளைக் கொண்ட மாதிரிகளைத் தவிர (எடுத்துக்காட்டாக, kimjoy007.dyndns.org).