Изучаем зловреда NSIS.BitMin.d. Часть два.

Вот мы и вернули к нашему зловредику. В первой части мы уже поговорила о программах которые использовали, проследили как себя ведет майнер без интернета и сети. Чах бедняжка прям на глазах ((( Теперь пришло дать ему свободы, действительно вышло очень весело ))) Как всегда будет много скриншотов и мало полезной информации.

DOC001.exe

Начнем мы с нашего барана, в начале все стандартно. Копирует себя в c:\Users\test\AppData\Roaming\Temps\ ,запускает , делает ссылку в автозапуске, распаковывает майнера.

А вот потом стучится на адрес 185.26.112.217 по протоколу HTTP . Кому любопытно это IP Московского дата-центра.

Собственно от туда он качать DownLoader Java.exe и запускает его .

Дальше он по обычной схеме через cmd пытается размножиться по сети и наконец-то запускает майнер (все параметры запуска видны) .

VID001.exe

Маленький файлик java.exe начинает прям таки кипучую деятельность. Скачивает от туда же файлик VID.exe, запускает его.

По сути это тот-же майнер, версия 2.0 ) Он копирует в себя в папку c:\Users\test\AppData\Roaming\TempoRX\VID001.exe , распаковывает майнер, создает ярлык автозапуска .

Он приколист, убивает майнера запущенного DOC001.exe , устраняет конкурентов )) Запускает свой и пытается так же плодиться по сети.

buff2.exe

Следующий скаченный файл buff2.exe , он распаковывает файл lsm.exe (который определился как Trojan.Win32.Tasker.it ) и добавляет его в Планировщик задач на запуск.

Что конкретно он делает я так и не понял , но ничего хорошего точно. Надо изучать его в дизасеблере. Если кто знает что за гадость, можете написать в коментах )))

dhelper.exe

Следующий загружаемый файл уже интересней. Это заправленный архив который запускает java.exe .

Распаковывает файлы в JavaTemp и запускает JavaTemp/ja2.exe файл

То в свою очередь распаковывает cmd /C copy /b %temp%\Javatemp\ini.jwd C:\Users\test\AppData\Roaming\cppredistx86.exe .

Потом он хитро соберает dhelper -> cmd /C copy /b %temp%\Javatemp\jare.7z1 + %temp%\Javatemp\temps.7z1 C:\Users\test\AppData\Roaming\dhelper.exe

Потом убивает процесс сама распаковщика и запускает уже собранный экземпляр dhelper

Новый dhelper в свою очередь качает файлы и создает папку Adobe со всякой шняга

Потом запускает от туда батник C:\Windows\system32\cmd.exe /c C:\Users\test\AppData\Roaming\Adobe\x86rx\nr.bat . Который похож на ответ сервера.

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>404 - File or directory not found.</title>
<style type="text/css">
<!--
body{margin:0;font-size:.7em;font-family:Verdana, Arial, Helvetica, sans-serif;background:#EEEEEE;}
fieldset{padding:0 15px 10px 15px;} 
h1{font-size:2.4em;margin:0;color:#FFF;}
h2{font-size:1.7em;margin:0;color:#CC0000;} 
h3{font-size:1.2em;margin:10px 0 0 0;color:#000000;} 
#header{width:96%;margin:0 0 0 0;padding:6px 2% 6px 2%;font-family:"trebuchet MS", Verdana, sans-serif;color:#FFF;
background-color:#555555;}
#content{margin:0 0 0 2%;position:relative;}
.content-container{background:#FFF;width:96%;margin-top:8px;padding:10px;position:relative;}
-->
</style>
</head>
<body>
<div id="header"><h1>Server Error</h1></div>
<div id="content">
 <div class="content-container"><fieldset>
  <h2>404 - File or directory not found.</h2>
  <h3>The resource you are looking for might have been removed, had its name changed, or is temporarily unavailable.</h3>
 </fieldset></div>
</div>
</body>
</html>

Вообщем тоже не понятный субьект . Определяется как HEUR:Trojan.Win32.Generic

Вот такое у нас получилось приключение. Мне было интересно , надеюсь и вам. Конечно это только поверхностный анализ, я забыл еще поставить сниффер и посмотреть трафик. Но современные вирусы чертовки опасны с эпохой интернета , и майнит криптовалюту это самое безобидное .