Вот мы и вернули к нашему зловредику. В первой части мы уже поговорила о программах которые использовали, проследили как себя ведет майнер без интернета и сети. Чах бедняжка прям на глазах ((( Теперь пришло дать ему свободы, действительно вышло очень весело ))) Как всегда будет много скриншотов и мало полезной информации.
DOC001.exe
Начнем мы с нашего барана, в начале все стандартно. Копирует себя в c:\Users\test\AppData\Roaming\Temps\ ,запускает , делает ссылку в автозапуске, распаковывает майнера.
А вот потом стучится на адрес 185.26.112.217 по протоколу HTTP . Кому любопытно это IP Московского дата-центра.
Собственно от туда он качать DownLoader Java.exe и запускает его .
Дальше он по обычной схеме через cmd пытается размножиться по сети и наконец-то запускает майнер (все параметры запуска видны) .
VID001.exe
Маленький файлик java.exe начинает прям таки кипучую деятельность. Скачивает от туда же файлик VID.exe, запускает его.
По сути это тот-же майнер, версия 2.0 ) Он копирует в себя в папку c:\Users\test\AppData\Roaming\TempoRX\VID001.exe , распаковывает майнер, создает ярлык автозапуска .
Он приколист, убивает майнера запущенного DOC001.exe , устраняет конкурентов )) Запускает свой и пытается так же плодиться по сети.
buff2.exe
Следующий скаченный файл buff2.exe , он распаковывает файл lsm.exe (который определился как Trojan.Win32.Tasker.it ) и добавляет его в Планировщик задач на запуск.
Что конкретно он делает я так и не понял , но ничего хорошего точно. Надо изучать его в дизасеблере. Если кто знает что за гадость, можете написать в коментах )))
dhelper.exe
Следующий загружаемый файл уже интересней. Это заправленный архив который запускает java.exe .
Распаковывает файлы в JavaTemp и запускает JavaTemp/ja2.exe файл
То в свою очередь распаковывает cmd /C copy /b %temp%\Javatemp\ini.jwd C:\Users\test\AppData\Roaming\cppredistx86.exe .
Потом он хитро соберает dhelper -> cmd /C copy /b %temp%\Javatemp\jare.7z1 + %temp%\Javatemp\temps.7z1 C:\Users\test\AppData\Roaming\dhelper.exe
Потом убивает процесс сама распаковщика и запускает уже собранный экземпляр dhelper
Новый dhelper в свою очередь качает файлы и создает папку Adobe со всякой шняга
Потом запускает от туда батник C:\Windows\system32\cmd.exe /c C:\Users\test\AppData\Roaming\Adobe\x86rx\nr.bat . Который похож на ответ сервера.
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>404 - File or directory not found.</title>
<style type="text/css">
<!--
body{margin:0;font-size:.7em;font-family:Verdana, Arial, Helvetica, sans-serif;background:#EEEEEE;}
fieldset{padding:0 15px 10px 15px;}
h1{font-size:2.4em;margin:0;color:#FFF;}
h2{font-size:1.7em;margin:0;color:#CC0000;}
h3{font-size:1.2em;margin:10px 0 0 0;color:#000000;}
#header{width:96%;margin:0 0 0 0;padding:6px 2% 6px 2%;font-family:"trebuchet MS", Verdana, sans-serif;color:#FFF;
background-color:#555555;}
#content{margin:0 0 0 2%;position:relative;}
.content-container{background:#FFF;width:96%;margin-top:8px;padding:10px;position:relative;}
-->
</style>
</head>
<body>
<div id="header"><h1>Server Error</h1></div>
<div id="content">
<div class="content-container"><fieldset>
<h2>404 - File or directory not found.</h2>
<h3>The resource you are looking for might have been removed, had its name changed, or is temporarily unavailable.</h3>
</fieldset></div>
</div>
</body>
</html>Вообщем тоже не понятный субьект . Определяется как HEUR:Trojan.Win32.Generic
Вот такое у нас получилось приключение. Мне было интересно , надеюсь и вам. Конечно это только поверхностный анализ, я забыл еще поставить сниффер и посмотреть трафик. Но современные вирусы чертовки опасны с эпохой интернета , и майнит криптовалюту это самое безобидное .