เรายังคงบทความชุดของเราเกี่ยวกับการวิเคราะห์มัลแวร์ต่อไป ใน ส่วนหนึ่ง เราได้แจ้งให้ทราบว่า Ilya Pomerantsev ผู้เชี่ยวชาญด้านการวิเคราะห์มัลแวร์ที่ CERT Group-IB ดำเนินการวิเคราะห์โดยละเอียดของไฟล์ที่ได้รับทางไปรษณีย์จากบริษัทแห่งหนึ่งในยุโรปและค้นพบสปายแวร์ที่นั่นได้อย่างไร ตัวแทนTesla. ในบทความนี้ Ilya ให้ผลลัพธ์ของการวิเคราะห์โมดูลหลักทีละขั้นตอน ตัวแทนTesla.
Agent Tesla เป็นซอฟต์แวร์สอดแนมแบบโมดูลาร์ที่เผยแพร่โดยใช้โมเดลมัลแวร์ในรูปแบบบริการภายใต้หน้ากากของผลิตภัณฑ์คีย์ล็อกเกอร์ที่ถูกกฎหมาย เจ้าหน้าที่ Tesla สามารถแยกและส่งข้อมูลประจำตัวผู้ใช้จากเบราว์เซอร์ ไคลเอนต์อีเมล และไคลเอนต์ FTP ไปยังเซิร์ฟเวอร์ไปยังผู้โจมตี บันทึกข้อมูลคลิปบอร์ด และจับภาพหน้าจอของอุปกรณ์ ในขณะที่วิเคราะห์ เว็บไซต์อย่างเป็นทางการของนักพัฒนาไม่สามารถใช้งานได้
ไฟล์การกำหนดค่า
ตารางด้านล่างแสดงรายการฟังก์ชันการทำงานที่ใช้กับตัวอย่างที่คุณใช้:
| ลักษณะ | มูลค่า |
| การตั้งค่าสถานะการใช้งาน KeyLogger | จริง |
| การตั้งค่าสถานะการใช้งาน ScreenLogger | เท็จ |
| ช่วงเวลาการส่งบันทึก KeyLogger เป็นนาที | 20 |
| ช่วงเวลาการส่งบันทึก ScreenLogger เป็นนาที | 20 |
| ธงการจัดการคีย์ Backspace เท็จ – การบันทึกเท่านั้น จริง – ลบคีย์ก่อนหน้า | เท็จ |
| ประเภทซีเอ็นซี ตัวเลือก: smtp, เว็บพาเนล, ftp | SMTP |
| การตั้งค่าสถานะการเปิดใช้งานเธรดสำหรับการยกเลิกกระบวนการจากรายการ “%filter_list%” | เท็จ |
| UAC ปิดการใช้งานแฟล็ก | เท็จ |
| ตัวจัดการงานปิดใช้งานการตั้งค่าสถานะ | เท็จ |
| CMD ปิดการใช้งานแฟล็ก | เท็จ |
| เรียกใช้การตั้งค่าสถานะปิดการใช้งานหน้าต่าง | เท็จ |
| Registry Viewer ปิดการใช้งานการตั้งค่าสถานะ | เท็จ |
| ปิดใช้งานการตั้งค่าสถานะจุดคืนค่าระบบ | จริง |
| แผงควบคุมปิดใช้งานการตั้งค่าสถานะ | เท็จ |
| MSCONFIG ปิดใช้งานการตั้งค่าสถานะ | เท็จ |
| ตั้งค่าสถานะเพื่อปิดใช้งานเมนูบริบทใน Explorer | เท็จ |
| ปักธง | เท็จ |
| เส้นทางสำหรับการคัดลอกโมดูลหลักเมื่อปักหมุดเข้ากับระบบ | %โฟลเดอร์เริ่มต้น% %insfolder%%insname% |
| ตั้งค่าสถานะสำหรับการตั้งค่าคุณลักษณะ "ระบบ" และ "ซ่อน" สำหรับโมดูลหลักที่กำหนดให้กับระบบ | เท็จ |
| ตั้งค่าสถานะเพื่อทำการรีสตาร์ทเมื่อปักหมุดอยู่กับระบบ | เท็จ |
| ตั้งค่าสถานะสำหรับการย้ายโมดูลหลักไปยังโฟลเดอร์ชั่วคราว | เท็จ |
| ธงบายพาส UAC | เท็จ |
| รูปแบบวันที่และเวลาสำหรับการบันทึก | ปปปป-ดด-วว HH:mm:ss |
| ตั้งค่าสถานะการใช้ตัวกรองโปรแกรมสำหรับ KeyLogger | จริง |
| ประเภทของการกรองโปรแกรม 1 – ชื่อโปรแกรมถูกค้นหาในชื่อหน้าต่าง 2 – ชื่อโปรแกรมถูกค้นหาในชื่อกระบวนการของหน้าต่าง |
1 |
| ตัวกรองโปรแกรม | "เฟสบุ๊ค" "ทวิตเตอร์" "จีเมล" "อินสตาแกรม" "ภาพยนตร์" "สไกป์" "สื่อลามก" "สับ" "วอทส์แอพ" "ความไม่ลงรอยกัน" |
การติดตั้งโมดูลหลักเข้ากับระบบ
หากตั้งค่าสถานะที่สอดคล้องกัน โมดูลหลักจะถูกคัดลอกไปยังเส้นทางที่ระบุในการกำหนดค่าเป็นเส้นทางที่จะกำหนดให้กับระบบ
ไฟล์จะได้รับแอตทริบิวต์ "ซ่อน" และ "ระบบ" ทั้งนี้ขึ้นอยู่กับค่าจากการกำหนดค่า
การทำงานอัตโนมัติมีให้โดยสาขารีจิสทรีสองแห่ง:
- ซอฟต์แวร์ HKCUMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
เนื่องจาก bootloader แทรกเข้าไปในกระบวนการ RegAsmการตั้งค่าสถานะถาวรสำหรับโมดูลหลักทำให้เกิดผลลัพธ์ที่น่าสนใจทีเดียว แทนที่จะคัดลอกตัวเอง มัลแวร์จะแนบไฟล์ต้นฉบับเข้ากับระบบ RegAsm.exeขณะทำการฉีดยา
ปฏิสัมพันธ์กับซีแอนด์ซี
ไม่ว่าจะใช้วิธีใดก็ตาม การสื่อสารเครือข่ายเริ่มต้นด้วยการรับ IP ภายนอกของเหยื่อโดยใช้ทรัพยากร [.]amazonaws[.]com/.
ข้อมูลต่อไปนี้จะอธิบายวิธีการโต้ตอบเครือข่ายที่นำเสนอในซอฟต์แวร์
เว็บพาเนล
การโต้ตอบเกิดขึ้นผ่านโปรโตคอล HTTP มัลแวร์ดำเนินการคำขอ POST ด้วยส่วนหัวต่อไปนี้:
- ตัวแทนผู้ใช้: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- การเชื่อมต่อ: Keep-Alive
- ประเภทเนื้อหา: application/x-www-form-urlencoded
ที่อยู่เซิร์ฟเวอร์ถูกระบุโดยค่า %โพสต์URL%. ข้อความที่เข้ารหัสจะถูกส่งไปในพารามิเตอร์ « p ». กลไกการเข้ารหัสอธิบายไว้ในส่วนนี้ "อัลกอริทึมการเข้ารหัส" (วิธีที่ 2).
ข้อความที่ส่งมีลักษณะดังนี้:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
พารามิเตอร์ ชนิด ระบุประเภทข้อความ:
ฮาวิด — แฮช MD5 จะถูกบันทึกจากค่าของหมายเลขซีเรียลของเมนบอร์ดและรหัสโปรเซสเซอร์ ส่วนใหญ่มักจะใช้เป็นรหัสผู้ใช้
เวลา — ทำหน้าที่ส่งเวลาและวันที่ปัจจุบัน
ชื่อพีซี - กำหนดให้เป็น /.
ข้อมูลบันทึก — บันทึกข้อมูล
เมื่อส่งรหัสผ่าน ข้อความจะมีลักษณะดังนี้:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
ต่อไปนี้เป็นคำอธิบายข้อมูลที่ถูกขโมยในรูปแบบ nclient[]={0}nlink[]={1}ชื่อผู้ใช้[]={2}npassword[]={3}.
SMTP
การโต้ตอบเกิดขึ้นผ่านโปรโตคอล SMTP จดหมายที่ส่งอยู่ในรูปแบบ HTML พารามิเตอร์ ร่างกาย ดูเหมือนกับ:
ส่วนหัวของจดหมายมีรูปแบบทั่วไป: / . เนื้อหาของจดหมายตลอดจนไฟล์แนบจะไม่ได้รับการเข้ารหัส
การโต้ตอบเกิดขึ้นผ่านโปรโตคอล FTP ไฟล์ที่มีชื่อจะถูกโอนไปยังเซิร์ฟเวอร์ที่ระบุ _-_.html. เนื้อหาของไฟล์ไม่ได้ถูกเข้ารหัส
อัลกอริธึมการเข้ารหัส
กรณีนี้ใช้วิธีการเข้ารหัสต่อไปนี้:
วิธี 1
วิธีการนี้ใช้ในการเข้ารหัสสตริงในโมดูลหลัก อัลกอริธึมที่ใช้ในการเข้ารหัสคือ AES.
ข้อมูลเข้าเป็นเลขฐานสิบหกหลัก ทำการเปลี่ยนแปลงต่อไปนี้:
ฉ(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
ค่าผลลัพธ์คือดัชนีสำหรับอาร์เรย์ข้อมูลที่ฝังอยู่
แต่ละองค์ประกอบอาร์เรย์เป็นลำดับ DWORD. เมื่อนำมารวมกัน DWORD ได้รับอาร์เรย์ของไบต์: 32 ไบต์แรกเป็นคีย์การเข้ารหัส ตามด้วยเวกเตอร์การเริ่มต้น 16 ไบต์ และไบต์ที่เหลือเป็นข้อมูลที่เข้ารหัส
วิธี 2
อัลกอริทึมที่ใช้ 3DES ในโหมด ECB ด้วยการเติมในไบต์ทั้งหมด (พีเคซีเอส7).
คีย์ถูกระบุโดยพารามิเตอร์ %คีย์ URL%อย่างไรก็ตาม การเข้ารหัสจะใช้แฮช MD5
ฟังก์ชั่นที่เป็นอันตราย
ตัวอย่างที่อยู่ระหว่างการศึกษาใช้โปรแกรมต่อไปนี้เพื่อปรับใช้ฟังก์ชันที่เป็นอันตราย:
KeyLogger
หากมีการตั้งค่าสถานะมัลแวร์ที่เกี่ยวข้องโดยใช้ฟังก์ชัน WinAPI ตั้งค่า WindowsHookEx กำหนดตัวจัดการของตัวเองสำหรับเหตุการณ์การกดปุ่มบนคีย์บอร์ด ฟังก์ชันตัวจัดการเริ่มต้นด้วยการเรียกชื่อหน้าต่างที่ใช้งานอยู่
หากตั้งค่าสถานะการกรองแอปพลิเคชัน การกรองจะดำเนินการขึ้นอยู่กับประเภทที่ระบุ:
- ค้นหาชื่อโปรแกรมในชื่อหน้าต่าง
- ชื่อโปรแกรมจะถูกค้นหาในชื่อกระบวนการของหน้าต่าง
ถัดไป บันทึกจะถูกเพิ่มลงในบันทึกพร้อมข้อมูลเกี่ยวกับหน้าต่างที่ใช้งานอยู่ในรูปแบบ:
จากนั้นข้อมูลเกี่ยวกับการกดปุ่มจะถูกบันทึก:
| สำคัญ | บันทึก |
| Backspace | ขึ้นอยู่กับแฟล็กการประมวลผลคีย์ Backspace: False - {BACK} จริง – ลบคีย์ก่อนหน้า |
| แคปล็อค | {แคปล็อค} |
| ESC | {ESC} |
| PageUp | {เพจอัพ} |
| ลง | &ดาร์; |
| ลบ | {เดล} |
| " | " |
| F5 | {F5} |
| & | @ |
| F10 | {F10} |
| TAB | {แท็บ} |
| < | < |
| > | > |
| ช่องว่าง | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+แท็บ} |
| END | {จบ} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {CTRL} |
| F6 | {F6} |
| ขวา | → |
| Up | ➠ |
| F1 | {F1} |
| ซ้าย | (ลาร์; |
| PageDown | {เลื่อนหน้าลง} |
| สิ่งที่ใส่เข้าไป | {แทรก} |
| ชนะ | {ชนะ} |
| NumLock | {ล็อคหมายเลข} |
| F11 | {F11} |
| F3 | {F3} |
| หน้าหลัก | {บ้าน} |
| ENTER | {เข้า} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| กุญแจอื่นๆ | อักขระเป็นตัวพิมพ์ใหญ่หรือตัวพิมพ์เล็ก ขึ้นอยู่กับตำแหน่งของปุ่ม CapsLock และ Shift |
ตามความถี่ที่กำหนด บันทึกที่รวบรวมจะถูกส่งไปยังเซิร์ฟเวอร์ หากการถ่ายโอนไม่สำเร็จ บันทึกจะถูกบันทึกลงในไฟล์ %อุณหภูมิ%log.tmp ในรูปแบบ:
เมื่อตัวจับเวลาเริ่มทำงาน ไฟล์จะถูกโอนไปยังเซิร์ฟเวอร์
ScreenLogger
ตามความถี่ที่กำหนด มัลแวร์จะสร้างภาพหน้าจอในรูปแบบ Jpeg ด้วยความหมาย คุณภาพ เท่ากับ 50 และบันทึกลงในไฟล์ %APPDATA %.jpg. หลังจากถ่ายโอน ไฟล์จะถูกลบ
คลิปบอร์ดLogger
หากมีการตั้งค่าสถานะที่เหมาะสม ระบบจะทำการแทนที่ข้อความที่ดักไว้ตามตารางด้านล่าง
หลังจากนั้น ข้อความจะถูกแทรกลงในบันทึก:
รหัสผ่านขโมย
มัลแวร์สามารถดาวน์โหลดรหัสผ่านจากแอปพลิเคชันต่อไปนี้:
| เบราว์เซอร์ | โปรแกรมรับส่งเมล | ไคลเอนต์ FTP |
| Chrome | Outlook | FileZilla |
| Firefox | ธันเดอร์เบิร์ด | WS_FTP |
| IE/ขอบ | ฟ็อกซ์เมล | WinSCP |
| Safari | จดหมายโอเปร่า | CoreFTP |
| เบราเซอร์ Opera | IncrediMail | FTP นาวิเกเตอร์ |
| Yandex | โพโคเมล | FlashFXP |
| ประชา | Eudora | SmartFTP |
| ChromePlus | ค้างคาว | ผู้บัญชาการ FTP |
| โครเมียม | ตู้ไปรษณีย์ | |
| ไฟฉาย | ClawsMail | |
| 7Star | ||
| Amigo | ||
| เบรฟซอฟต์แวร์ | ลูกค้าแจ๊บเบอร์ | ไคลเอนต์ VPN |
| CentBrowser | ปอนด์/ตารางนิ้ว+ | เปิด VPN |
| เจดีย์ | ||
| ค็อคค | ||
| เบราว์เซอร์องค์ประกอบ | ดาวน์โหลดตัวจัดการ | |
| มหากาพย์ความเป็นส่วนตัวเบราว์เซอร์ Epic | Internet Download Manager ฟรี | |
| โคเมตะ | JDownloader | |
| orbitum | ||
| ดาวเทียมของรัสเซีย | ||
| ยูคอสมีเดีย | ||
| Vivaldi | ||
| SeaMonkey | ||
| แห่เบราว์เซอร์ | ||
| เบราว์เซอร์ UC | ||
| เหยี่ยวดำ | ||
| ไซเบอร์ฟ็อกซ์ | ||
| K-Meleon | ||
| ไอซ์แคท | ||
| Icedragon | ||
| เพลมูน | ||
| จิ้งจอกน้ำ | ||
| เบราว์เซอร์ฟอลคอน |
การตอบโต้ต่อการวิเคราะห์แบบไดนามิก
- การใช้ฟังก์ชัน นอนหลับ. ช่วยให้คุณข้ามแซนด์บ็อกซ์บางอันได้โดยการหมดเวลา
- ทำลายด้าย โซน.ตัวระบุ. ช่วยให้คุณซ่อนข้อเท็จจริงของการดาวน์โหลดไฟล์จากอินเทอร์เน็ต
- ในพารามิเตอร์ %filter_list% ระบุรายการกระบวนการที่มัลแวร์จะยุติในช่วงเวลาหนึ่งวินาที
- การปลด ยูเอซี
- ปิดการใช้งานตัวจัดการงาน
- การปลด CMD
- ปิดการใช้งานหน้าต่าง "วิ่ง"
- ปิดการใช้งานแผงควบคุม
- ปิดการใช้งานเครื่องมือ RegEdit
- ปิดการใช้งานจุดคืนค่าระบบ
- ปิดการใช้งานเมนูบริบทใน Explorer
- การปลด MSCONFIG
- บายพาส UAC:
คุณสมบัติที่ไม่ใช้งานของโมดูลหลัก
ในระหว่างการวิเคราะห์โมดูลหลัก มีการระบุฟังก์ชันที่รับผิดชอบในการแพร่กระจายผ่านเครือข่ายและการติดตามตำแหน่งของเมาส์
หนอน
เหตุการณ์สำหรับการเชื่อมต่อสื่อแบบถอดได้จะถูกตรวจสอบในเธรดแยกต่างหาก เมื่อเชื่อมต่อแล้ว มัลแวร์ที่มีชื่อนี้จะถูกคัดลอกไปยังรากของระบบไฟล์ scr.exeหลังจากนั้นจะค้นหาไฟล์ที่มีนามสกุล LNK. ทีมงานทุกคน LNK เปลี่ยนเป็น cmd.exe /c start scr.exe&start & exit.
แต่ละไดเร็กทอรีที่รูทของสื่อจะได้รับแอ็ตทริบิวต์ "ที่ซ่อนอยู่" และไฟล์จะถูกสร้างขึ้นโดยมีนามสกุล LNK ด้วยชื่อของไดเร็กทอรีที่ซ่อนอยู่และคำสั่ง cmd.exe /c start scr.exe&explorer /root,"%CD%" & ออก.
เมาส์ติดตาม
วิธีการสกัดกั้นจะคล้ายกับวิธีการที่ใช้กับคีย์บอร์ด ฟังก์ชั่นนี้ยังอยู่ระหว่างการพัฒนา
กิจกรรมไฟล์
| เส้นทาง | ลักษณะ |
| %อุณหภูมิ%temp.tmp | ประกอบด้วยตัวนับสำหรับความพยายามในการเลี่ยงผ่าน UAC |
| %โฟลเดอร์เริ่มต้น%%insfolder%%insname% | เส้นทางที่จะกำหนดให้กับระบบ HPE |
| %Temp%tmpG{เวลาปัจจุบันเป็นมิลลิวินาที}.tmp | เส้นทางสำหรับการสำรองข้อมูลโมดูลหลัก |
| %ชั่วคราว%log.tmp | ไฟล์บันทึก |
| %AppData%{ลำดับที่กำหนดเองของอักขระ 10 ตัว}.jpeg | จอ |
| C:UsersPublic{ลำดับที่กำหนดเองของอักขระ 10 ตัว}.vbs | พาธไปยังไฟล์ vbs ที่ bootloader สามารถใช้เพื่อแนบกับระบบ |
| %Temp%{ชื่อโฟลเดอร์ที่กำหนดเอง}{ชื่อไฟล์} | เส้นทางที่ bootloader ใช้เพื่อแนบตัวเองเข้ากับระบบ |
โปรไฟล์ผู้โจมตี
ด้วยข้อมูลการตรวจสอบความถูกต้องแบบฮาร์ดโค้ด เราจึงสามารถเข้าถึงศูนย์บัญชาการได้
สิ่งนี้ทำให้เราสามารถระบุอีเมลฉบับสุดท้ายของผู้โจมตีได้:
junaid[.]ใน***@gmail[.]com.
ชื่อโดเมนของศูนย์บัญชาการได้รับการลงทะเบียนกับเมลแล้ว sg***@gmail[.]com.
ข้อสรุป
ในระหว่างการวิเคราะห์โดยละเอียดของมัลแวร์ที่ใช้ในการโจมตี เราสามารถสร้างฟังก์ชันการทำงานและรับรายการตัวบ่งชี้การประนีประนอมที่สมบูรณ์ที่สุดที่เกี่ยวข้องกับกรณีนี้ การทำความเข้าใจกลไกของการโต้ตอบกับเครือข่ายมัลแวร์ทำให้สามารถให้คำแนะนำในการปรับการทำงานของเครื่องมือรักษาความปลอดภัยข้อมูล รวมถึงเขียนกฎ IDS ที่เสถียร
อันตรายหลัก ตัวแทนTesla เช่นเดียวกับ DataStealer ตรงที่ไม่จำเป็นต้องคอมมิตกับระบบหรือรอให้คำสั่งควบคุมทำงาน เมื่ออยู่บนเครื่องแล้ว เครื่องจะเริ่มรวบรวมข้อมูลส่วนตัวและถ่ายโอนไปยัง CnC ทันที พฤติกรรมก้าวร้าวนี้มีความคล้ายคลึงกับพฤติกรรมของแรนซัมแวร์ในบางแง่ โดยมีข้อแตกต่างเพียงอย่างเดียวคือพฤติกรรมหลังไม่จำเป็นต้องเชื่อมต่อเครือข่ายด้วยซ้ำ หากคุณพบกลุ่มนี้ หลังจากทำความสะอาดระบบที่ติดไวรัสจากมัลแวร์แล้ว คุณควรเปลี่ยนรหัสผ่านทั้งหมดที่สามารถบันทึกลงในแอปพลิเคชันใดแอปพลิเคชันหนึ่งที่ระบุไว้ข้างต้นได้อย่างแน่นอน
มองไปข้างหน้าสมมติว่าผู้โจมตีส่ง ตัวแทนTeslaบูตโหลดเดอร์เริ่มต้นมีการเปลี่ยนแปลงบ่อยมาก วิธีนี้ช่วยให้คุณไม่มีใครสังเกตเห็นจากเครื่องสแกนแบบคงที่และเครื่องวิเคราะห์การศึกษาพฤติกรรมในขณะที่ถูกโจมตี และแนวโน้มของครอบครัวนี้ที่จะเริ่มกิจกรรมทันทีทำให้การตรวจสอบระบบไม่มีประโยชน์ วิธีที่ดีที่สุดในการต่อสู้กับ AgentTesla คือการวิเคราะห์เบื้องต้นในแซนด์บ็อกซ์
ในบทความที่สามของชุดนี้ เราจะดูที่โปรแกรมโหลดบูตอื่นๆ ที่ใช้ ตัวแทนTeslaและศึกษาขั้นตอนการเปิดกล่องกึ่งอัตโนมัติด้วย ไม่ควรพลาด!
กัญชา
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
ซีแอนด์ซี
| URL |
| sina-c0m[.]ไอซียู |
| smtp[.]sina-c0m[.]icu |
เร็กคีย์
| รีจิสทรี |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{ชื่อสคริปต์} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
มิวเท็กซ์
ไม่มีตัวชี้วัด
ไฟล์
| กิจกรรมไฟล์ |
| %อุณหภูมิ%temp.tmp |
| %โฟลเดอร์เริ่มต้น%%insfolder%%insname% |
| %Temp%tmpG{เวลาปัจจุบันเป็นมิลลิวินาที}.tmp |
| %ชั่วคราว%log.tmp |
| %AppData%{ลำดับที่กำหนดเองของอักขระ 10 ตัว}.jpeg |
| C:UsersPublic{ลำดับที่กำหนดเองของอักขระ 10 ตัว}.vbs |
| %Temp%{ชื่อโฟลเดอร์ที่กำหนดเอง}{ชื่อไฟล์} |
ข้อมูลตัวอย่าง
| Name | ไม่ทราบ |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| ชนิดภาพเขียน | พีอี (.NET) |
| ขนาด | 327680 |
| ชื่อเดิม | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| ประทับวันที่ | 01.07.2019 |
| ผู้รวบรวม | VB.NET |
| Name | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| ชนิดภาพเขียน | พีอี (.NET DLL) |
| ขนาด | 16896 |
| ชื่อเดิม | IELibrary.dll |
| ประทับวันที่ | 11.10.2016 |
| ผู้รวบรวม | ไมโครซอฟต์ ลิงค์เกอร์ (48.0*) |
ที่มา: will.com