Get best of the week

рдзрдордХреА рд╕реНрдкреЙрдЯрд▓рд╛рдЗрдЯ: Neshta рдлрд╝рд╛рдЗрд▓ рд╡рд╛рдпрд░рд╕

рд╕рд▓рд╛рдо, рдЦрд╝рдмрд░реЛрдВ рдХреЛ! рдкрд╛рдареНрдпрдХреНрд░рдо "рд░рд┐рд╡рд░реНрд╕ рдЗрдВрдЬреАрдирд┐рдпрд░рд┐рдВрдЧ 2.0" рдХреА рд╢реБрд░реБрдЖрдд рдХреА рдкреНрд░рддреНрдпрд╛рд╢рд╛ рдореЗрдВ рд╣рдо рдЖрдкрдХреЗ рд╕рд╛рде рдПрдХ рдФрд░ рджрд┐рд▓рдЪрд╕реНрдк рдЕрдиреБрд╡рд╛рдж рд╕рд╛рдЭрд╛ рдХрд░рдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВред



рд╕рдВрдХреНрд╖рд┐рдкреНрдд рд╕рдореАрдХреНрд╖рд╛


Neshta рдПрдХ рдХрд╛рдлреА рдкреБрд░рд╛рдирд╛ рдлрд╝рд╛рдЗрд▓ рд╡рд╛рдпрд░рд╕ рд╣реИ рдЬреЛ рдЕрднреА рднреА рд╡реНрдпрд╛рдкрдХ рд╣реИред рдпрд╣ рдореВрд▓ рд░реВрдк рд╕реЗ 2003 рдореЗрдВ рдЦреЛрдЬрд╛ рдЧрдпрд╛ рдерд╛ рдФрд░ рдкрд╣рд▓реЗ рдмреНрд▓реИрдХрдкреЛрд╕ рдореИрд▓рд╡реЗрдпрд░ рд╕реЗ рдЬреБрдбрд╝рд╛ рдерд╛ред рдпрд╣ рд╕рдВрдХреНрд░рдорд┐рдд рдлрд╝рд╛рдЗрд▓реЛрдВ рдореЗрдВ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рдХреЛрдб рдЬреЛрдбрд╝рддрд╛ рд╣реИред рдореВрд▓ рд░реВрдк рд╕реЗ, рдпрд╣ рдЦрддрд░рд╛ рдЕрдирдЬрд╛рдиреЗ рдбрд╛рдЙрдирд▓реЛрдб рдпрд╛ рдЕрдиреНрдп рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рдХрд╛рд░реНрдпрдХреНрд░рдореЛрдВ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдкрд░реНрдпрд╛рд╡рд░рдг рдореЗрдВ рдкреНрд░рд╡реЗрд╢ рдХрд░рддрд╛ рд╣реИред рдпрд╣ рд╡рд┐рдВрдбреЛрдЬрд╝ рдирд┐рд╖реНрдкрд╛рджрди рдпреЛрдЧреНрдп рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рд╕рдВрдХреНрд░рдорд┐рдд рдХрд░рддрд╛ рд╣реИ рдФрд░ рдиреЗрдЯрд╡рд░реНрдХ рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдФрд░ рд╣рдЯрд╛рдиреЗ рдпреЛрдЧреНрдп рдореАрдбрд┐рдпрд╛ рдкрд░ рд╣рдорд▓рд╛ рдХрд░ рд╕рдХрддрд╛ рд╣реИред

2018 рдореЗрдВ, рдирд┐рд╢реНрддрд╛ рдиреЗ рдореБрдЦреНрдп рд░реВрдк рд╕реЗ рд╡рд┐рдирд┐рд░реНрдорд╛рдг рдкрд░ рдзреНрдпрд╛рди рдХреЗрдВрджреНрд░рд┐рдд рдХрд┐рдпрд╛, рд▓реЗрдХрд┐рди рд╡рд┐рддреНрддреАрдп, рдЙрдкрднреЛрдХреНрддрд╛ рдФрд░ рдКрд░реНрдЬрд╛ рдХреНрд╖реЗрддреНрд░реЛрдВ рдкрд░ рднреА рд╣рдорд▓рд╛ рдХрд┐рдпрд╛ред рд╕реНрдерд┐рд░рддрд╛ рдХреЗ рдХрд╛рд░рдгреЛрдВ рдХреЗ рд▓рд┐рдП, Neshta рдЦреБрдж svchost.com рдХрд╛ рдирд╛рдо рдмрджрд▓ рджреЗрддрд╛ рд╣реИ, рдФрд░ рдлрд┐рд░ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░рддрд╛ рд╣реИ рддрд╛рдХрд┐ рдпрд╣ рд╣рд░ рдмрд╛рд░ рд╢реБрд░реВ рд╣реЛ рдЬрд╛рдПредред Exe рдлрд╝рд╛рдЗрд▓ рд▓реЙрдиреНрдЪ рдХреА рдЬрд╛рддреА рд╣реИред рдпрд╣ рдЬреНрдЮрд╛рдд рд╣реИ рдХрд┐ рдпрд╣ рдЦрддрд░рд╛ рд╕рд┐рд╕реНрдЯрдо рдХреА рдЬрд╛рдирдХрд╛рд░реА рдПрдХрддреНрд░ рдХрд░рддрд╛ рд╣реИ рдФрд░ рд╣рдорд▓рд╛рд╡рд░реЛрдВ рджреНрд╡рд╛рд░рд╛ рдирд┐рдпрдВрддреНрд░рд┐рдд рд╕рд░реНрд╡рд░ рдкрд░ рдбреЗрдЯрд╛ рдХреЛ рдШреБрд╕рдкреИрда рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП POST рдЕрдиреБрд░реЛрдзреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИред рд╣рдорд╛рд░реЗ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдореЗрдВ рдЗрд╕реНрддреЗрдорд╛рд▓ рдХреА рдЧрдИ рдирд┐рд╕реНрд╕рд╛ рдмрд╛рдпрдиреЗрд░рд┐рдЬрд╝ рдиреЗ рдбреЗрдЯрд╛ рдмрд╣рд┐рд╖реНрдХрд╛рд░ рд╡реНрдпрд╡рд╣рд╛рд░ рдпрд╛ рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ рдХрд╛ рдкреНрд░рджрд░реНрд╢рди рдирд╣реАрдВ рдХрд┐рдпрд╛ред

рддрдХрдиреАрдХреА рд╡рд┐рд╢реНрд▓реЗрд╖рдг


рдЗрд╕ рдЦрдВрдб рдореЗрдВ Neshta рд╕рдВрдХреНрд░рдордг рдХреЗ рд▓рдХреНрд╖рдгреЛрдВ рдХрд╛ рд╡рд░реНрдгрди рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред рд╣рдордиреЗ 2007, 2008 рдФрд░ 2019 рдореЗрдВ VirusTotal рдкрд░ рдЕрдкрд▓реЛрдб рдХрд┐рдП рдЧрдП рд╡рд╛рдпрд░рд╕ рдХреЗ рдирдореВрдиреЗ рд▓рд┐рдПред

рд╣рдордиреЗ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд SHA-256 рд╣реИрд╢рд┐рдВрдЧ рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЗ рд╕рд╛рде рдлрд╝рд╛рдЗрд▓реЛрдВ рдХрд╛ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд┐рдпрд╛:

  • 29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
  • 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
  • 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
  • a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
  • 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
  • c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75


рд╕реНрдЯреЗрдЯрд┐рдХ рдлрд╛рдЗрд▓ рд╡рд┐рд╢реНрд▓реЗрд╖рдг


рдиреЗрд╢рдЯрд╛ рдХреЛрдб рдмреЛрд░рд▓реИрдВрдб рдбреЗрд▓реНрдлреА 4.0 рдХреЗ рд╕рд╛рде рд╕рдВрдХрд▓рд┐рддред рдлрд╝рд╛рдЗрд▓ рдХрд╛ рдЖрдХрд╛рд░ рдЖрдорддреМрд░ рдкрд░ 41,472 рдмрд╛рдЗрдЯреНрд╕ рд╣реИред

рдХрд┐рд╕реА рднреА рдбреЗрд▓реНрдлреА рдмрд╛рдЗрдирд░реА рдХреА рддрд░рд╣, Neshta рдореЗрдВ рдЪрд╛рд░ рд▓рд┐рдЦрдиреЗ рдпреЛрдЧреНрдп (DATA, BSS, .idata рдФрд░ .tls) рдФрд░ рддреАрди рд╕рд╛рдЭрд╛ рдЦрдВрдб (.rdata, .reloc рдФрд░ .rsrc):


рдЪрд┐рддреНрд░ 1. рдЕрдиреБрднрд╛рдЧ рд╣реЗрдбрд░ рдХреА рд╡рд┐рд╢реЗрд╖рддрд╛рдПрдВ рд╣реИрдВ ред

рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, Neshta рдХреЛрдб рджрд┐рд▓рдЪрд╕реНрдк рд▓рд╛рдЗрдиреЗрдВ рджрд┐рдЦрд╛рддрд╛ рд╣реИ - рдиреАрдЪреЗ рдЪрд┐рддреНрд░ 2 рджреЗрдЦреЗрдВ:

тАЬрдбреЗрд▓реНрдлреА-рд╕рдмрд╕реЗ рдЕрдЪреНрдЫрд╛ред рдмрд╛рдХреА рд╕рднреА рдХреЛ F ***ред Neshta 1.0 рдмреЗрд▓рд╛рд░реВрд╕ рдореЗрдВ рдмрдирд╛рдпрд╛ рдЧрдпрд╛ рдерд╛ред рд╣рдо ~ ~ рддреНрд╕рд┐рдХрд╛рд╡реА ~ рдмреЗрд▓рд╛рд░реВрд╕_рдХрд┐рдо рдбрдЬрд╝рд┐рдпрд╛рдЪрдЯреНрдЯрдо рдХреЗ рдкреНрд░рдпрд╛рд╕реЛрдВ рдХреЛ рджреЛрд╣рд░рд╛ рд░рд╣реЗ рд╣реИрдВред Alyaksandr Rygoravich, рдЖрдк рдПрдХ рдХрд░рд╛рдорд╛рддрд╛ рд╣реИрдВ :) рд╡реЛрд╕реЗрди-рдХреЗрдкреНрд╕реНрдХреА рджрдВрдкрддрд┐ ... рдЕрд▓реАрд╡рд╛рд░рд╛ - рдмреАрдпрд░ рдмрдирд╛рддреЗ рд╣реИрдВ! рд╕рд╛рджрд░ 2 рдЯреЙрдореА рд╕рд▓реЛред [рдирд╡рдВрдмрд░ -2005] рддреБрдореНрд╣рд╛рд░рд╛ [рджреНрд╡рд┐рдЬрджреБрд▓реНрд▓рд╛ рдЖрдкрдирд╕] тАЩтАЩ
(тАЬрдбреЗрд▓реНрдлреА рд╕рдмрд╕реЗ рдЕрдЪреНрдЫрд╛ рд╣реИред рдЬрд╛рдиреЗ рдХреЗ рд▓рд┐рдП ***ред рдирд┐рд╢реНрдЪреЗрддрд╛ рез.реж рдмреЗрд▓рд╛рд░реВрд╕ рдореЗрдВ рдмрдиреАред рд╕рднреА ~ рд░реЛрдЪрдХ ~ рдмреЗрд▓рд╛рд░реВрд╕реА рд▓рдбрд╝рдХрд┐рдпреЛрдВ рдХреЛ рдирдорд╕реНрдХрд╛рд░ред рдПрд▓реНрдпрд╕реНрдХреИрдВрдбрд░ рдЧреНрд░рд┐рдЧреЛрд░реАрд╡рд┐рдЪ, рдЖрдк рднреА :) рд╢рд░рдж рдПрдХ рдмреБрд░рд╛ рдпреБрдЧрд▓ рд╣реИтАж рдПрд▓рд┐рд╡реЗрд░рд┐рдпрд╛ рд╕рдмрд╕реЗ рдЕрдЪреНрдЫреА рдмреАрдпрд░ рд╣реИ! рдЯреЙрдореА рд╕реИрд▓реЛ рдХреЗ рд▓рд┐рдП рд╢реБрднрдХрд╛рдордирд╛рдПрдВред [рдирд╡рдВрдмрд░ реирежрежрел] рдЖрдкрдХрд╛ [рджрд╛рджрд╛рдЬреА рдЖрдкрдирд╕]) "



рдЪрд┐рддреНрд░ 2: рд╡рд╛рдпрд░рд╕ рдХреЗ рд╢рд░реАрд░ рдореЗрдВ рджрд┐рд▓рдЪрд╕реНрдк рд░реЗрдЦрд╛рдПрдБ

рдлрд╝рд╛рдЗрд▓ рд╕рдВрдХреНрд░рдордг


Neshta рдХреА рдореБрдЦреНрдп рд╡рд┐рд╢реЗрд╖рддрд╛ рдПрдХ рдлрд╝рд╛рдЗрд▓ рдШреБрд╕рдкреИрдард┐рдпрд╛ рд╣реИ рдЬреЛ рд╕реНрдерд╛рдиреАрдп рдбреНрд░рд╛рдЗрд╡ рдкрд░ .exe рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреА рдЦреЛрдЬ рдХрд░рддреА рд╣реИред Neshta ".exe" рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рд▓рдХреНрд╖рд┐рдд рдХрд░рддрд╛ рд╣реИ, рдХреЗрд╡рд▓ рдЙрди рд▓реЛрдЧреЛрдВ рдХреЛ рдЫреЛрдбрд╝рдХрд░, рдЬрд┐рдирдХреЗ рд╢реЙрд░реНрдЯрдХрдЯ рдореЗрдВ рдирд┐рдореНрди рдореЗрдВ рд╕реЗ рдХреЛрдИ рднреА рд░реЗрдЦрд╛рдПрдБ рд╢рд╛рдорд┐рд▓ рд╣реИрдВ:

  • % Temp%
  • % SystemRoot% (рдЖрдорддреМрд░ рдкрд░ C: \ Windows)
  • \ PROGRA ~ 1 \


рд╕рдВрдХреНрд░рдордг рдХреА рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХрд╛ рд╕рд╛рд░рд╛рдВрд╢ рдиреАрдЪреЗ рдФрд░ рдЪрд┐рддреНрд░рд╛ 3. рдореЗрдВ рд╡рд░реНрдгрди рдХрд┐рдпрд╛ рдЧрдпрд╛

Neshta:

  1. рд▓рдХреНрд╖реНрдп рд╕реНрд░реЛрдд рдлрд╝рд╛рдЗрд▓ рдХреА рд╢реБрд░реБрдЖрдд рд╕реЗ 41,472 (0xA200) рдмрд╛рдЗрдЯреНрд╕ рдкрдврд╝рддрд╛ рд╣реИред
  2. рд╕реНрд░реЛрдд рдлрд╝рд╛рдЗрд▓ рдХреЗ рдЖрд░рдВрдн рдФрд░ рдЕрдВрдд рдореЗрдВ PAGE_READWRITE рд╡рд┐рд╢реЗрд╖рддрд╛ рдХреЗ рд╕рд╛рде рджреЛ рд╡рд┐рднрд╛рдЬрди рдмрдирд╛рддрд╛ рд╣реИ рдФрд░ рдореЗрдореЛрд░реА рдЖрд╡рдВрдЯрд┐рдд рдХрд░рддрд╛ рд╣реИред
  3. рд╕реНрд░реЛрдд рдлрд╝рд╛рдЗрд▓ рдХреА рд╢реБрд░реБрдЖрдд рдореЗрдВ рдЕрдкрдиреЗ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рд╢реАрд░реНрд╖ рд▓реЗрдЦ рдФрд░ рдХреЛрдб рдбрд╛рд▓рддрд╛ рд╣реИред рд░рд┐рдХреЙрд░реНрдб рдХрд┐рдпрд╛ рдЧрдпрд╛ рдбреЗрдЯрд╛ 41,472 рдмрд╛рдЗрдЯреНрд╕ рд╣реИред
  4. рдПрдиреНрдХреЛрдбреЗрдб рд╕реЛрд░реНрд╕ рд╣реЗрдбрд░ рдФрд░ рдХреЛрдб рдХреЛ рдПрдХ рдлрд╛рдЗрд▓ рдореЗрдВ рд▓рд┐рдЦрддрд╛ рд╣реИ рдЬреЛ рдЖрдХрд╛рд░ рдореЗрдВ 41.472 рдмрд╛рдЗрдЯреНрд╕ рд╣реИред


рдпреЗ рдХреНрд░рд┐рдпрд╛рдПрдВ рдЖрдкрдХреЛ рд╕рдВрдХреНрд░рдорд┐рдд рдлрд╝рд╛рдЗрд▓ рд▓реЙрдиреНрдЪ рдХрд░рдиреЗ рдХреЗ рддреБрд░рдВрдд рдмрд╛рдж рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рдХреЛрдб рдЪрд▓рд╛рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддреА рд╣реИрдВ:


рдЪрд┐рддреНрд░ 3: рдлрд╝рд╛рдЗрд▓ рд╕рдВрдХреНрд░рдордг

рдЬрдм рд╕рдВрдХреНрд░рдорд┐рдд рдлрд╝рд╛рдЗрд▓ рд▓реЙрдиреНрдЪ рдХреА рдЬрд╛рддреА рд╣реИ, рддреЛ рд╕реНрд░реЛрдд рдкреНрд░реЛрдЧреНрд░рд╛рдо рдХреЛ %Temp%\3582-490\<filename>WinExec API рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд░рдЦрд╛ рдФрд░ рд▓реЙрдиреНрдЪ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред

рд╕реНрдерд┐рд░рддрд╛


Neshta рдЕрдкрдиреЗ рдЖрдк C:\Windows\svchost.comрдХреЛ рдирд┐рдореНрди рдорд╛рдкрджрдВрдбреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдореЗрдВ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рддрд╛ рд╣реИ:

рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдХреБрдВрдЬреА: HKLM \ SOFTWARE \ Classes \ exefile \ shell \ open \ рдХрдорд╛рдВрдб
рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдорд╛рди: (рдбрд┐рдлрд╝реЙрд▓реНрдЯ)
рдорд╛рди: %SystemRoot%\svchost.com "%1" %*
рдпрд╣ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдкрд░рд┐рд╡рд░реНрддрди рд╕рд┐рд╕реНрдЯрдо рдХреЛ рд╣рд░ рдмрд╛рд░ рд╢реБрд░реВ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдмрддрд╛рддрд╛ рд╣реИред exe рдЪрд▓рд╛рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред рдлрд╝рд╛рдЗрд▓ред "% 1"% * рд░рдирд┐рдВрдЧ .exe рдлрд╝рд╛рдЗрд▓ рдЗрдВрдЧрд┐рдд рдХрд░рддрд╛ рд╣реИред рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, Neshta рдПрдХ рдЕрдиреНрдп рдХрд╛рдордХрд╛рдЬреА рдЙрджрд╛рд╣рд░рдг рдХреЗ рдЕрд╕реНрддрд┐рддреНрд╡ рдХреА рдЬрд╛рдВрдЪ рдХреЗ рд▓рд┐рдП рдПрдХ рдирд╛рдорд┐рдд рдореНрдпреВрдЯреЗрдХреНрд╕ рдмрдирд╛рддрд╛ рд╣реИ:

MutexPolesskayaGlush*.*<0x90>svchost.com<0x90>exefile\shell\open\commandтА╣├А "%1" %*┼УтАШ@

рдПрдХ рдФрд░ рдЗрдВрдЬреЗрдХреНрд╢рди рдлрд╝рд╛рдЗрд▓ "directx.sys" рд╣реИ, рдЬреЛ% SystemRoot% рдХреЛ рднреЗрдЬреА рдЬрд╛рддреА рд╣реИред рдпрд╣ рдПрдХ рдкрд╛рда рдлрд╝рд╛рдЗрд▓ рд╣реИ (рдХрд░реНрдиреЗрд▓ рдЪрд╛рд▓рдХ рдирд╣реАрдВ) рдЬрд┐рд╕рдореЗрдВ рдЪрд▓рд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдЕрдВрддрд┐рдо рд╕рдВрдХреНрд░рдорд┐рдд рдлрд╝рд╛рдЗрд▓ рдХрд╛ рдкрде рд╣реИред рд╣рд░ рдмрд╛рд░ рдХрд┐рд╕реА рд╕рдВрдХреНрд░рдорд┐рдд рдлрд╝рд╛рдЗрд▓ рдХреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж рдЗрд╕реЗ рдЕрдкрдбреЗрдЯ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред

рдмреНрд▓реИрдХрдмреЗрд░реА рд╕рд╛рдЗрд▓реЗрдиреНрд╕ Neshta рдмрдВрдж рдХрд░ рджреЗрддрд╛ рд╣реИ


BlackBerry Cylance рд▓рд╛рдЦреЛрдВ рд╕реБрд░рдХреНрд╖рд┐рдд рдФрд░ рдЕрд╕реБрд░рдХреНрд╖рд┐рдд рдлрд╝рд╛рдЗрд▓реЛрдВ рдкрд░ рдЦрддрд░реЛрдВ рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдкреНрд░рд╢рд┐рдХреНрд╖рд┐рдд AI- рдЖрдзрд╛рд░рд┐рдд рдПрдЬреЗрдВрдЯреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИред рд╣рдорд╛рд░реЗ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд╕реБрд░рдХреНрд╖рд╛ рдПрдЬреЗрдВрдЯ рд╡рд┐рд╢рд┐рд╖реНрдЯ рдлрд╝рд╛рдЗрд▓ рд╣рд╕реНрддрд╛рдХреНрд╖рд░ рдкрд░ рдирд┐рд░реНрднрд░ рд╣реЛрдиреЗ рдХреЗ рдмрдЬрд╛рдп, рдлрд╝рд╛рдЗрд▓ рд╡рд┐рд╢реЗрд╖рддрд╛рдУрдВ рдФрд░ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рд╡реНрдпрд╡рд╣рд╛рд░ рдХреЗ рдЖрдзрд╛рд░ рдкрд░ Neshta рдХреЛ рдмреНрд▓реЙрдХ рдХрд░рддреЗ рд╣реИрдВред рдмреНрд▓реИрдХрдмреЗрд░реА рд╕рд╛рдЗрд▓реЗрдиреНрд╕, рдЬреЛ рд╢реВрдиреНрдп-рджрд┐рди рдХреЗ рдЦрддрд░реЛрдВ рдкрд░ рдПрдХ рднрд╡рд┐рд╖реНрдп рдХрд╣рдиреЗрд╡рд╛рд▓рд╛ рд▓рд╛рдн рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИ , рдирдП рдФрд░ рдЬреНрдЮрд╛рдд рд╕рд╛рдЗрдмрд░ рд╣рдорд▓реЛрдВ рдХреЗ рдЦрд┐рд▓рд╛рдл рдкреНрд░рд╢рд┐рдХреНрд╖рд┐рдд рдФрд░ рдкреНрд░рднрд╛рд╡реА рд╣реИред рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдХреЗ рд▓рд┐рдП, https://www.cylance.com рдкрд░ рдЬрд╛рдПрдВ ред

рдЖрд╡реЗрджрди


рд╕рдордЭреМрддрд╛ рд╕рдВрдХреЗрддрдХ (рдЖрдИрдУрд╕реА)


  • рд╣реИрд╢

29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a рдУ
рдУ 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
рдУ 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
рдУ a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
рдУ 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
рдУ c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75

  • рдлрд╝рд╛рдЗрд▓ рдирд╛рдо

o% SystemRoot% \ svchost.com
o% SystemRoot% \ directx.sys
o% Temp% \ tmp5023.tmp

  • C2s / рдЖрдИрдкреА
  • mutexes

o MutexPolesskayaGlush *ред * <0x90> svchost.com <0x90> exefile \ shell \ open \ рдХрдорд╛рдВрдб ├А "% 1"% "┼У '@ @

  • рджрд┐рд▓рдЪрд╕реНрдк рд▓рд╛рдЗрдиреЗрдВ

рдУ рдбреЗрд▓реНрдлреА-рд╕рдмрд╕реЗ рдЕрдЪреНрдЫрд╛ред рдмрд╛рдХреА рд╕рдм рд╕реЗ рдПрдл ** kред Neshta 1.0 рдмреЗрд▓рд╛рд░реВрд╕ рдореЗрдВ рдмрдирд╛рдпрд╛ рдЧрдпрд╛ рдерд╛ред рд╣рдо ~ рддреНрд╕рд┐рдХрд╡ ~ рдмреЗрд▓рд╛рд░реВрд╕_рдХрд┐рдо рдЬрд┐рдпрд╛рдЪрдЯреНрдЯрдо рдкрдХрдбрд╝реЗ рд╣реБрдП рд╣реИрдВред Alyaksandr Rygoravich, рдЖрдк рдПрдХ рдХрд░рд╛рдорд╛рддрд╛ рд╣реИрдВ :) рд╡реЛрд╕реЗрди-рдХреЗрдкреНрд╕реНрдХреА рджрдВрдкрддрд┐ ... рдЕрд▓реАрд╡рд╛рд░рд╛ - рдмреАрдпрд░ рдмрдирд╛рддреЗ рд╣реИрдВ! рд╕рд╛рджрд░ 2 рдЯреЙрдореА рд╕рд▓реЛред [рдирд╡рдореНрдмрд░ -реирежрежреж] рддреБрдореНрд╣рд╛рд░рд╛ [рджреНрд╡рд┐рдЬрджреБрд▓ рдЕрдкрд╛рди]

SHA25629fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
рдПрдХ рдкреНрд░рдХрд╛рд░pe32 рдирд┐рд╖реНрдкрд╛рджрди рдпреЛрдЧреНрдп (рдЧреБрдЬрд░рд╛рдд) рдЗрдВрдЯреЗрд▓ 80386, рдПрдордПрд╕ рд╡рд┐рдВрдбреЛрдЬрд╝ рдХреЗ рд▓рд┐рдП
рдЖрдХрд╛рд░41472
рдЯрд╛рдЗрдорд╕реНрдЯреИрдореНрдк1992: 06: 20 07: 22: 17 + 09: 00
ITWsvchost [ред] com


рдкрд╛рдареНрдпрдХреНрд░рдо рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рдиреЗрдВред

More articles:


All Articles