ہم اپنے مضامین کا سلسلہ جاری رکھتے ہیں جو میلویئر تجزیہ کے لیے وقف ہیں۔ میں جزوی طور پر، ہم نے بتایا کہ کس طرح CERT Group-IB میں مالویئر تجزیہ کے ماہر Ilya Pomerantsev نے یورپی کمپنیوں میں سے ایک سے میل کے ذریعے موصول ہونے والی فائل کا تفصیلی تجزیہ کیا اور وہاں اسپائی ویئر دریافت کیا۔ ایجنٹ ٹیسلا. اس مضمون میں، الیا مرکزی ماڈیول کے مرحلہ وار تجزیہ کے نتائج فراہم کرتا ہے۔ ایجنٹ ٹیسلا.
ایجنٹ ٹیسلا ایک ماڈیولر جاسوسی سافٹ ویئر ہے جو ایک جائز کیلاگر پروڈکٹ کی آڑ میں مالویئر کے بطور سروس ماڈل کا استعمال کرتے ہوئے تقسیم کیا جاتا ہے۔ ایجنٹ ٹیسلا براؤزرز، ای میل کلائنٹس اور ایف ٹی پی کلائنٹس سے سرور پر حملہ آوروں کو صارف کی اسناد نکالنے اور منتقل کرنے، کلپ بورڈ ڈیٹا ریکارڈ کرنے، اور ڈیوائس اسکرین کیپچر کرنے کی صلاحیت رکھتا ہے۔ تجزیہ کے وقت، ڈویلپرز کی سرکاری ویب سائٹ دستیاب نہیں تھی۔
کنفیگریشن فائل
نیچے دیے گئے جدول میں درج ہے کہ آپ جو نمونہ استعمال کر رہے ہیں اس پر کون سی فعالیت لاگو ہوتی ہے:
| تفصیل | ویلیو |
| KeyLogger استعمال کا جھنڈا | سچ |
| ScreenLogger استعمال کا جھنڈا | جھوٹی |
| KeyLogger لاگ بھیجنے کا وقفہ منٹوں میں | 20 |
| ScreenLogger لاگ بھیجنے کا وقفہ منٹوں میں | 20 |
| بیک اسپیس کلید ہینڈلنگ پرچم۔ غلط - صرف لاگنگ۔ درست - پچھلی کلید کو مٹاتا ہے۔ | جھوٹی |
| CNC کی قسم۔ اختیارات: smtp، webpanel، ftp | SMTP |
| فہرست "%filter_list%" سے عمل کو ختم کرنے کے لیے تھریڈ ایکٹیویشن کا جھنڈا | جھوٹی |
| UAC پرچم کو غیر فعال کریں۔ | جھوٹی |
| ٹاسک مینیجر پرچم کو غیر فعال کریں۔ | جھوٹی |
| سی ایم ڈی پرچم کو غیر فعال کریں۔ | جھوٹی |
| ونڈو کو غیر فعال پرچم چلائیں۔ | جھوٹی |
| رجسٹری ناظر پرچم کو غیر فعال کریں۔ | جھوٹی |
| سسٹم ریسٹور پوائنٹس فلیگ کو غیر فعال کریں۔ | سچ |
| کنٹرول پینل پرچم کو غیر فعال کریں۔ | جھوٹی |
| MSCONFIG پرچم کو غیر فعال کریں۔ | جھوٹی |
| ایکسپلورر میں سیاق و سباق کے مینو کو غیر فعال کرنے کے لیے جھنڈا لگائیں۔ | جھوٹی |
| پن پرچم | جھوٹی |
| مین ماڈیول کو سسٹم میں پن کرتے وقت اسے کاپی کرنے کا راستہ | %startupfolder%%insfolder%%insname% |
| سسٹم کو تفویض کردہ مرکزی ماڈیول کے لیے "سسٹم" اور "پوشیدہ" صفات کو ترتیب دینے کے لیے جھنڈا لگائیں | جھوٹی |
| سسٹم میں پن ہونے پر دوبارہ شروع کرنے کے لیے جھنڈا لگائیں۔ | جھوٹی |
| مرکزی ماڈیول کو عارضی فولڈر میں منتقل کرنے کے لیے جھنڈا لگائیں۔ | جھوٹی |
| UAC بائی پاس جھنڈا | جھوٹی |
| لاگنگ کے لیے تاریخ اور وقت کی شکل | yyyy-MM-dd HH:mm:ss |
| KeyLogger کے لیے پروگرام فلٹر استعمال کرنے کے لیے جھنڈا لگائیں۔ | سچ |
| پروگرام فلٹرنگ کی قسم۔ 1 - پروگرام کا نام ونڈو کے عنوانات میں تلاش کیا جاتا ہے۔ 2 - پروگرام کا نام ونڈو کے عمل کے نام میں تلاش کیا جاتا ہے۔ |
1 |
| پروگرام فلٹر | "فیس بک" "ٹویٹر" جی میل "انسٹاگرام" "فلم" "اسکائپ" "فحش" "ہیک" "واٹس ایپ" "تنازعہ" |
سسٹم میں مرکزی ماڈیول منسلک کرنا
اگر متعلقہ جھنڈا سیٹ کیا جاتا ہے تو، مین ماڈیول کو config میں بتائے گئے راستے پر کاپی کیا جاتا ہے جیسا کہ سسٹم کو تفویض کیا جانا ہے۔
کنفگ کی قیمت پر منحصر ہے، فائل کو "پوشیدہ" اور "سسٹم" کی خصوصیات دی گئی ہیں۔
آٹورن دو رجسٹری برانچوں کے ذریعہ فراہم کیا جاتا ہے:
- HKCU سافٹ ویئرMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
چونکہ بوٹ لوڈر اس عمل میں انجیکشن لگاتا ہے۔ RegAsm, مرکزی ماڈیول کے لیے مستقل جھنڈا ترتیب دینے سے کافی دلچسپ نتائج برآمد ہوتے ہیں۔ خود کو کاپی کرنے کے بجائے، میلویئر نے اصل فائل کو سسٹم سے منسلک کر دیا۔ RegAsm.exe، جس کے دوران انجکشن کیا گیا تھا۔
C&C کے ساتھ تعامل
استعمال شدہ طریقہ سے قطع نظر، نیٹ ورک مواصلت وسائل کا استعمال کرتے ہوئے شکار کا بیرونی IP حاصل کرنے سے شروع ہوتا ہے۔ amazonaws[.]com/.
مندرجہ ذیل سافٹ ویئر میں پیش کردہ نیٹ ورک کے تعامل کے طریقوں کی وضاحت کرتا ہے۔
ویب پینل
تعامل HTTP پروٹوکول کے ذریعے ہوتا ہے۔ میلویئر مندرجہ ذیل ہیڈرز کے ساتھ POST کی درخواست کو انجام دیتا ہے۔
- صارف کا ایجنٹ: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- کنکشن: زندہ رکھیں
- مواد کی قسم: درخواست/x-www-form-urlencoded
سرور کا پتہ قدر کے ذریعہ بیان کیا جاتا ہے۔ %پوسٹ یو آر ایل. پیرامیٹر میں خفیہ کردہ پیغام بھیجا جاتا ہے۔ «P. خفیہ کاری کا طریقہ کار سیکشن میں بیان کیا گیا ہے۔ "انکرپشن الگورتھم" (طریقہ 2).
منتقل شدہ پیغام اس طرح لگتا ہے:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
پیرامیٹر قسم پیغام کی قسم کی طرف اشارہ کرتا ہے:
hwid - ایک MD5 ہیش کو مدر بورڈ سیریل نمبر اور پروسیسر آئی ڈی کی اقدار سے ریکارڈ کیا جاتا ہے۔ غالباً صارف کی شناخت کے طور پر استعمال کیا جاتا ہے۔
وقت - موجودہ وقت اور تاریخ کو منتقل کرنے کا کام کرتا ہے۔
pcname - کے طور پر بیان کیا گیا ہے <صارف کا نام>/<کمپیوٹر کا نام>.
لاگ ڈیٹا - لاگ ڈیٹا۔
پاس ورڈ منتقل کرتے وقت، پیغام ایسا لگتا ہے:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
فارمیٹ میں چوری شدہ ڈیٹا کی تفصیل درج ذیل ہے۔ nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.
SMTP
تعامل SMTP پروٹوکول کے ذریعے ہوتا ہے۔ منتقل شدہ خط HTML فارمیٹ میں ہے۔ پیرامیٹر BODY کی طرح لگتا ہے:
خط کے ہیڈر کی عمومی شکل ہے: <USER NAME>/<COMPUTER NAME> <content TYPE>. خط کے مندرجات کے ساتھ ساتھ اس کے اٹیچمنٹس کو خفیہ نہیں کیا گیا ہے۔
تعامل FTP پروٹوکول کے ذریعے ہوتا ہے۔ نام کے ساتھ ایک فائل کو مخصوص سرور پر منتقل کیا جاتا ہے۔ <مواد کی قسم>_<صارف کا نام>-<کمپیوٹر کا نام>_<تاریخ اور وقت>.html. فائل کے مواد کو خفیہ نہیں کیا گیا ہے۔
خفیہ کاری الگورتھم
یہ کیس درج ذیل خفیہ کاری کے طریقے استعمال کرتا ہے:
1 طریقہ
یہ طریقہ مین ماڈیول میں تاروں کو خفیہ کرنے کے لیے استعمال کیا جاتا ہے۔ خفیہ کاری کے لیے استعمال ہونے والا الگورتھم ہے۔ یئایس.
ان پٹ چھ ہندسوں کا اعشاریہ نمبر ہے۔ اس پر درج ذیل تبدیلی کی جاتی ہے:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
نتیجہ خیز قدر سرایت شدہ ڈیٹا سرنی کے لئے انڈیکس ہے۔
ہر صف کا عنصر ایک ترتیب ہے۔ DWORD. ضم ہونے پر DWORD بائٹس کی ایک صف حاصل کی جاتی ہے: پہلے 32 بائٹس انکرپشن کلید ہیں، اس کے بعد ابتدائی ویکٹر کے 16 بائٹس، اور باقی بائٹس انکرپٹڈ ڈیٹا ہیں۔
2 طریقہ
الگورتھم استعمال کیا گیا۔ 3DES موڈ میں ای سی بی پورے بائٹس میں پیڈنگ کے ساتھ (پی کے سی ایس 7).
کلید کی وضاحت پیرامیٹر کے ذریعہ کی گئی ہے۔ %urlkey%تاہم، خفیہ کاری اپنی MD5 ہیش استعمال کرتی ہے۔
بدنیتی پر مبنی فعالیت
زیر مطالعہ نمونہ اپنے بدنیتی پر مبنی فعل کو نافذ کرنے کے لیے درج ذیل پروگراموں کا استعمال کرتا ہے۔
کیلوگر۔
اگر WinAPI فنکشن کا استعمال کرتے ہوئے متعلقہ میلویئر جھنڈا ہے۔ WindowsHookEx سیٹ کریں۔ کی بورڈ پر کی پریس ایونٹس کے لیے اپنا ہینڈلر تفویض کرتا ہے۔ ہینڈلر فنکشن فعال ونڈو کا عنوان حاصل کرنے سے شروع ہوتا ہے۔
اگر ایپلیکیشن فلٹرنگ کا جھنڈا سیٹ کیا جاتا ہے تو، مخصوص قسم کے لحاظ سے فلٹرنگ کی جاتی ہے:
- پروگرام کا نام ونڈو کے عنوانات میں تلاش کیا جاتا ہے۔
- پروگرام کا نام ونڈو کے عمل کے نام میں دیکھا جاتا ہے۔
اگلا، فارمیٹ میں فعال ونڈو کے بارے میں معلومات کے ساتھ لاگ میں ایک ریکارڈ شامل کیا جاتا ہے:
پھر دبائی گئی کلید کے بارے میں معلومات ریکارڈ کی جاتی ہیں:
| کلید | ریکارڈ |
| بیک اسپیس | بیک اسپیس کلیدی پروسیسنگ پرچم پر منحصر ہے: غلط - {BACK} درست - پچھلی کلید کو مٹاتا ہے۔ |
| کیپسلاک | {CAPSLOCK} |
| ESC | {ESC} |
| پیج اپ | {PageUp} |
| نیچے | ↓ |
| DELETE | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| جگہ | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| END | {END} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {CTRL} |
| F6 | {F6} |
| اس وقت | → |
| Up | ↑ |
| F1 | {F1} |
| چھوڑ دیا | ← |
| نیچے صفحہ | {نیچے صفحہ} |
| داخل | {داخل کریں} |
| جیت | {جیت} |
| نمک | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| ہوم | {گھر} |
| ENTER | {ENTER} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| دوسری کلید | CapsLock اور Shift کیز کی پوزیشنوں کے لحاظ سے کریکٹر اوپری یا لوئر کیس میں ہے۔ |
ایک مخصوص فریکوئنسی پر، جمع شدہ لاگ سرور کو بھیجا جاتا ہے۔ اگر منتقلی ناکام ہو جاتی ہے، تو لاگ فائل میں محفوظ ہو جاتا ہے۔ %TEMP%log.tmp فارمیٹ میں:
جب ٹائمر فائر ہو جائے گا، فائل کو سرور پر منتقل کر دیا جائے گا۔
اسکرین لاگر
ایک مخصوص فریکوئنسی پر، میلویئر فارمیٹ میں اسکرین شاٹ بناتا ہے۔ JPEG معنی کے ساتھ کوالٹی 50 کے برابر ہے اور اسے فائل میں محفوظ کرتا ہے۔ %APPDATA %<10 حروف کی بے ترتیب ترتیب>.jpg. منتقلی کے بعد، فائل کو خارج کر دیا جاتا ہے.
کلپ بورڈ لاگر
اگر مناسب جھنڈا سیٹ کیا جاتا ہے تو، نیچے دیے گئے جدول کے مطابق روکے گئے متن میں تبدیلیاں کی جاتی ہیں۔
اس کے بعد، متن لاگ میں داخل کیا جاتا ہے:
پاس ورڈ چوری کرنے والا
میلویئر درج ذیل ایپلیکیشنز سے پاس ورڈ ڈاؤن لوڈ کر سکتا ہے۔
| بروروزرس | میل کلائنٹس | ایف ٹی پی کلائنٹس |
| کروم | آؤٹ لک | FileZilla کے |
| فائر فاکس | تھنڈر برڈ | WS_FTP |
| IE/Edge | فاکس میل | WinSCP |
| سفاری | اوپیرا میل | کور ایف ٹی پی |
| اوپیرا براؤزر | IncrediMail | ایف ٹی پی نیویگیٹر |
| Yandex | پوکومیل | فلیش ایف ایکس پی |
| میں Comodo | یوڈورا | اسمارٹ ایف ٹی پی |
| کروم پلس | چمگادڑ | ایف ٹی پی کمانڈر |
| کرومیم | پوسٹ باکس | |
| ٹارچ | کلاز میل | |
| 7 اسٹار | ||
| دوست | ||
| بہادر سافٹ ویئر | جابر کلائنٹس | وی پی این کلائنٹس |
| سینٹ براؤزر | Psi/Psi+ | VPN کھولیں |
| چیڈوٹ | ||
| کوکوک | ||
| عناصر کا براؤزر | مینیجرز کو ڈاؤن لوڈ کریں۔ | |
| مہاکاوی پرائیویسی براؤزر | انٹرنیٹ ڈاؤن لوڈ مینیجر | |
| دومکیت | جے ڈاون لوڈر۔ | |
| مدار | ||
| سپتنک | ||
| uCozMedia | ||
| Vivaldi کے | ||
| SeaMonkey | ||
| فلاک براؤزر | ||
| یو سی براؤزر | ||
| کالا عقاب | ||
| سائبر فاکس | ||
| کے میلون | ||
| آئسکیٹ | ||
| آئس ڈریگن | ||
| پیلی مون | ||
| واٹر فاکس | ||
| فالکن براؤزر |
متحرک تجزیہ کا مقابلہ
- فنکشن کا استعمال کرتے ہوئے سو. آپ کو ٹائم آؤٹ کے ذریعے کچھ سینڈ باکسز کو نظرانداز کرنے کی اجازت دیتا ہے۔
- ایک دھاگے کو تباہ کرنا زون۔ شناخت کار۔. آپ کو انٹرنیٹ سے فائل ڈاؤن لوڈ کرنے کی حقیقت کو چھپانے کی اجازت دیتا ہے۔
- پیرامیٹر میں %filter_list% ان عملوں کی فہرست بتاتا ہے جنہیں میلویئر ایک سیکنڈ کے وقفوں سے ختم کر دے گا۔
- منسلک کریں یو اے سی
- ٹاسک مینیجر کو غیر فعال کرنا
- منسلک کریں صدر اور انتظام ڈائریکٹر
- ونڈو کو غیر فعال کرنا Выполнить
- کنٹرول پینل کو غیر فعال کرنا
- ٹول کو غیر فعال کرنا ریڈ ایڈیٹر
- سسٹم کی بحالی کے پوائنٹس کو غیر فعال کرنا
- ایکسپلورر میں سیاق و سباق کے مینو کو غیر فعال کریں۔
- منسلک کریں MSCONFIG
- بائی پاس UAC:
مرکزی ماڈیول کی غیر فعال خصوصیات
مرکزی ماڈیول کے تجزیہ کے دوران، فنکشنز کی نشاندہی کی گئی جو پورے نیٹ ورک میں پھیلنے اور ماؤس کی پوزیشن کو ٹریک کرنے کے ذمہ دار تھے۔
کیڑا
ہٹنے کے قابل میڈیا کو جوڑنے کے واقعات کی نگرانی الگ تھریڈ میں کی جاتی ہے۔ منسلک ہونے پر، نام کے ساتھ میلویئر فائل سسٹم کے روٹ میں کاپی ہو جاتا ہے۔ scr.exe، جس کے بعد یہ ایکسٹینشن والی فائلوں کو تلاش کرتا ہے۔ lnk. سب کی ٹیم lnk میں تبدیل cmd.exe /c شروع کریں scr.exe اور شروع کریں <اصلی کمانڈ> اور باہر نکلیں۔.
میڈیا کی جڑ میں ہر ڈائریکٹری کو ایک وصف دیا جاتا ہے۔ "چھپا ہوا" اور ایکسٹینشن کے ساتھ ایک فائل بنائی جاتی ہے۔ lnk پوشیدہ ڈائریکٹری اور کمانڈ کے نام کے ساتھ cmd.exe /c شروع کریں scr.exe&explorer /root,"%CD%<DIRECTORY NAME>" اور باہر نکلیں.
ماؤس ٹریکر
مداخلت کو انجام دینے کا طریقہ کی بورڈ کے لئے استعمال کیا جاتا ہے. یہ فعالیت اب بھی ترقی کے تحت ہے۔
فائل کی سرگرمی
| راہ | تفصیل |
| %Temp%temp.tmp | UAC بائی پاس کی کوششوں کے لیے ایک کاؤنٹر پر مشتمل ہے۔ |
| %startupfolder%%insfolder%%insname% | HPE سسٹم کو تفویض کرنے کا راستہ |
| %Temp%tmpG{موجودہ وقت ملی سیکنڈز میں}.tmp | مرکزی ماڈیول کے بیک اپ کے لیے راستہ |
| %Temp%log.tmp | لاگ فائل |
| %AppData%{10 حروف کی ایک من مانی ترتیب}.jpeg | سکرینشاٹ |
| C:UsersPublic{10 حروف کی ایک من مانی ترتیب}.vbs | vbs فائل کا راستہ جسے بوٹ لوڈر سسٹم سے منسلک کرنے کے لیے استعمال کر سکتا ہے۔ |
| %Temp%{کسٹم فولڈر کا نام{فائل کا نام} | خود کو سسٹم سے منسلک کرنے کے لیے بوٹ لوڈر کے ذریعے استعمال کیا جانے والا راستہ |
حملہ آور کا پروفائل
ہارڈ کوڈ تصدیقی ڈیٹا کی بدولت، ہم کمانڈ سینٹر تک رسائی حاصل کرنے میں کامیاب ہو گئے۔
اس سے ہمیں حملہ آوروں کے حتمی ای میل کی شناخت کرنے کی اجازت ملی:
جنید[.]میں***@gmail[.]com.
کمانڈ سینٹر کا ڈومین نام میل پر رجسٹرڈ ہے۔ sg***@gmail[.]com.
حاصل يہ ہوا
حملے میں استعمال ہونے والے میلویئر کے تفصیلی تجزیہ کے دوران، ہم اس کی فعالیت کو قائم کرنے اور اس معاملے سے متعلق سمجھوتہ کے اشارے کی مکمل فہرست حاصل کرنے میں کامیاب رہے۔ میلویئر کے درمیان نیٹ ورک کے تعامل کے طریقہ کار کو سمجھنے نے انفارمیشن سیکیورٹی ٹولز کے آپریشن کو ایڈجسٹ کرنے کے ساتھ ساتھ آئی ڈی ایس کے مستحکم قوانین لکھنے کے لیے سفارشات دینا ممکن بنایا۔
اہم خطرہ ایجنٹ ٹیسلا DataStealer کی طرح کہ اسے اپنے کاموں کو انجام دینے کے لیے سسٹم سے وابستگی یا کنٹرول کمانڈ کا انتظار کرنے کی ضرورت نہیں ہے۔ مشین پر آنے کے بعد، یہ فوری طور پر نجی معلومات جمع کرنا شروع کر دیتا ہے اور اسے CnC میں منتقل کر دیتا ہے۔ یہ جارحانہ رویہ کچھ طریقوں سے ransomware کے رویے سے ملتا جلتا ہے، فرق صرف اتنا ہے کہ مؤخر الذکر کو نیٹ ورک کنکشن کی بھی ضرورت نہیں ہے۔ اگر آپ کا سامنا اس خاندان سے ہوتا ہے تو، میلویئر سے متاثرہ سسٹم کو صاف کرنے کے بعد، آپ کو یقینی طور پر تمام پاس ورڈز کو تبدیل کرنا چاہیے جو، کم از کم نظریاتی طور پر، اوپر دی گئی ایپلی کیشنز میں سے کسی ایک میں محفوظ ہو سکتے ہیں۔
آگے دیکھ کر، ہم کہتے ہیں کہ حملہ آور بھیج رہے ہیں۔ ایجنٹ ٹیسلاابتدائی بوٹ لوڈر اکثر بدلا جاتا ہے۔ یہ آپ کو حملے کے وقت جامد اسکینرز اور ہیورسٹک تجزیہ کاروں کی طرف سے کسی کا دھیان نہیں رہنے دیتا ہے۔ اور اس خاندان کا فوری طور پر اپنی سرگرمیاں شروع کرنے کا رجحان سسٹم مانیٹر کو بیکار بنا دیتا ہے۔ ایجنٹ ٹیسلا کا مقابلہ کرنے کا بہترین طریقہ سینڈ باکس میں ابتدائی تجزیہ ہے۔
اس سیریز کے تیسرے مضمون میں ہم استعمال ہونے والے دیگر بوٹ لوڈرز کو دیکھیں گے۔ ایجنٹ ٹیسلا، اور ان کے نیم خودکار پیک کھولنے کے عمل کا بھی مطالعہ کریں۔ مت چھوڑیں!
ہیش
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
سی اینڈ سی
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| رجسٹری |
| HKCUSsoftwareMicrosoftWindowsCurrentVersionRun{Script name} |
| HKCUSsoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWARMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
گونگا
کوئی اشارے نہیں ہیں۔
فائلوں
| فائل کی سرگرمی |
| %Temp%temp.tmp |
| %startupfolder%%insfolder%%insname% |
| %Temp%tmpG{موجودہ وقت ملی سیکنڈز میں}.tmp |
| %Temp%log.tmp |
| %AppData%{10 حروف کی ایک من مانی ترتیب}.jpeg |
| C:UsersPublic{10 حروف کی ایک من مانی ترتیب}.vbs |
| %Temp%{کسٹم فولڈر کا نام{فائل کا نام} |
نمونے کی معلومات
| نام | نامعلوم |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| قسم | PE (.NET) |
| سائز | 327680 |
| اصل نام | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| تاریخ کی مہر | 01.07.2019 |
| مرتب۔ | Vb.net |
| نام | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| قسم | PE (.NET DLL) |
| سائز | 16896 |
| اصل نام | IELibrary.dll |
| تاریخ کی مہر | 11.10.2016 |
| مرتب۔ | Microsoft Linker(48.0*) |
ماخذ: www.habr.com