ZOOMHACK by ACONEX 2.exe написан на С++
Анализ на VT
https://www.virustotal.com/ru/file/b...is/1371993187/
детекты:
Kaspersky: UDS
angerousObject.Multi.Generic
Comodo: UnclassifiedMalware
DrWeb: Win32.HLLW.SpyNet.77
Создаёт файлы:
Код:
C:\Windows\system32\H@tKeysH@@k.DLL
Размер: 20480 bytes
MD5 hash: 116ec20265b00cfe389518e2a0c7ed81
Анализ на VT
https://www.virustotal.com/ru/file/e...is/1371992759/
детекты:
Avast: Win32:HotKeysHook-I [PUP]
Comodo: Win32.Keylogger.HotKeysHook.A
F-Secure: Adware:W32/H@tKeysH@@k.A
DrWeb: Tool.Hatkeys
Код:
C:\Windows\system32\Syslogon.exe
- имеет атрибуты скрытого.
Размер: 1554783 bytes
MD5 hash: fe612c02f155015bfc1005ef404a09d4
Анализ на VT
https://www.virustotal.com/ru/file/4...is/1371993618/
детекты:
Kaspersky: UDS
angerousObject.Multi.Generic
Comodo: UnclassifiedMalware
DrWeb: Win32.HLLW.SpyNet.77
ESET-NOD32: a variant of Win32/Injector.Autoit.MT
Код:
C:\Users\Roman\AppData\Local\Temp\424242.exe
Размер: 1554783 bytes
MD5 hash: fe612c02f155015bfc1005ef404a09d4
Является копией файла C:\Windows\system32\Syslogon.exe
Код:
C:\Users\Roman\AppData\Local\Temp\UserName2.txt
C:\Users\Roman\AppData\Local\Temp\UserName7
C:\Users\Roman\AppData\Local\Temp\UserName8
Код:
C:\Users\UserName\AppData\Local\Temp\ZOOMHACK by ACONEX.exe
- имеет атрибуты скрытого.
Размер: 1554783 bytes
MD5 hash: 3ee3e1b800f02934230bf8467b852a5c
Анализ на VT
https://www.virustotal.com/ru/file/1...a34e/analysis/
детекты:
Avast: Win32:HotKeysHook-I [PUP]
Comodo: TrojWare.Win32.Spy.HotKeys.A
ESET-NOD32: a variant of Win32/GameHack.EW
Создаёт скрытую папку:
Код:
C:\Users\UserName\AppData\Roaming\A3C66442
Создаёт скрытый файл
Код:
C:\Users\UserName\AppData\Roaming\A3C66442\dd-mm-yyyy
Вместо
dd-mm-yyyy текущая дата в данном формате.
Размер: 350 bytes
MD5 hash: 311000b811c15be54df6a4c92e968e92
создаёт файл
Код:
c:\Sandbox\Roman\Viri\user\current\AppData\Roaming\A3C66442\ak.tmp
следующего содержания
Hacked!!!_A3C66442 - Installed on DD/MM/YYYY -- hh:mm
DD/MM/YYYY -- hh:mm в этом формате записывается время запуска файла.
Код:
C:\Users\Roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Syslogon.exe
- имеет атрибуты скрытого
находится в автозапуске.
Размер: 1554783 bytes
MD5 hash: fe612c02f155015bfc1005ef404a09d4
Явдяется копией - C:\Windows\system32\Syslogon.exe
Сетевая активность:
поключается к
Код:
"178.150.126.172" on port 228.
"178.150.126.172" on port 1488.
"178.150.126.172" on port 8888.
Создаёт мьютексы:
Код:
_SHuassist.mtx
{C20CD437-BA6D-4ebb-B190-70B43DE3B0F3}
Создаёт процессы
Код:
C:\Users\UserName\AppData\Local\Temp\424242.exe
C:\Users\UserName\AppData\Local\Temp\ZOOMHACK by ACONEX.exe
C:\Windows\System32\Syslogon.exe
Создаёт/изменяет следующие ключи реестра
Код:
machine\software\microsoft\Active Setup\Installed Components\{ACO46G2I-8VS4-6870-RJ0D-NRSK54583FI7}\StubPath = C:\Windows\System32\Syslogon.exe
machine\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket\NukeOnDelete = 00000001
machine\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket\UseGlobalSettings = 00000001
machine\software\microsoft\Windows\CurrentVersion\Policies\Explorer\run\Policies = C:\Windows\System32\Syslogon.exe
machine\software\microsoft\Windows\CurrentVersion\Run\Winlogon = C:\Windows\System32\Syslogon.exe
user\current\software\Hacked!!!\FirstExecution = DD/MM/YYYY -- hh:mm
user\current\software\Hacked!!!\NewIdentification = Hacked!!!
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{47c0f14b-9dfa-11e2-86f5-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{47c0f14c-9dfa-11e2-86f5-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{84640fa8-8700-11e2-bf7d-50465d733360}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{84640fac-8700-11e2-bf7d-50465d733360}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{fcdbc158-d781-11dd-99cc-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{fcdbc159-d781-11dd-99cc-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{fcdbc15a-d781-11dd-99cc-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies = C:\Windows\System32\Syslogon.exe
user\current\software\Microsoft\Windows\CurrentVersion\Run\Winlogon = C:\Windows\System32\Syslogon.exe
параметр NukeOnDelete = 00000001 означает, что файлы будут удаляться напрямую минуя корзину.
DD/MM/YYYY -- hh:mm в этом формате записывается время запуска файла.
Обладает функционалам кейлогера.
Скрыть