trojanspy msil net что это
Удаление Trojan.Msil: Удалите Trojan.Msil Навсегда
Что такое Trojan.Msil
Скачать утилиту для удаления Trojan.Msil
Удалить Trojan.Msil вручную
Получить проффесиональную тех поддержку
Читать комментарии
Описание угрозы
Имя исполняемого файла:
Trojan.Msil
RP.exe
Trojan
Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)
Метод заражения Trojan.Msil
Trojan.Msil копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла RP.exe. Потом он создаёт ключ автозагрузки в реестре с именем Trojan.Msil и значением RP.exe. Вы также можете найти его в списке процессов с именем RP.exe или Trojan.Msil.
Если у вас есть дополнительные вопросы касательно Trojan.Msil, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.
Скачать утилиту для удаления
Скачайте эту программу и удалите Trojan.Msil and RP.exe (закачка начнется автоматически):
* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Trojan.Msil в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.
Функции
Удаляет все файлы, созданные Trojan.Msil.
Удаляет все записи реестра, созданные Trojan.Msil.
Программа способна защищать файлы и настройки от вредоносного кода.
Программа может исправить проблемы с браузером и защищает настройки браузера.
Антивирусная поддержка в режиме 24/7 входит в комплект поставки.
Скачайте утилиту для удаления Trojan.Msil от российской компании Security Stronghold
Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Trojan.Msil.. Утилита для удаления Trojan.Msil найдет и полностью удалит Trojan.Msil и все проблемы связанные с вирусом Trojan.Msil. Быстрая, легкая в использовании утилита для удаления Trojan.Msil защитит ваш компьютер от угрозы Trojan.Msil которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Trojan.Msil сканирует ваши жесткие диски и реестр и удаляет любое проявление Trojan.Msil. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Trojan.Msil. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Trojan.Msil и RP.exe (закачка начнется автоматически):
Функции
Удаляет все файлы, созданные Trojan.Msil.
Удаляет все записи реестра, созданные Trojan.Msil.
Программа может исправить проблемы с браузером.
Иммунизирует систему.
Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.
Наша служба поддержки готова решить вашу проблему с Trojan.Msil и удалить Trojan.Msil прямо сейчас!
Оставьте подробное описание вашей проблемы с Trojan.Msil в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Trojan.Msil. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Trojan.Msil.
Как удалить Trojan.Msil вручную
Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Trojan.Msil, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Trojan.Msil.
Чтобы избавиться от Trojan.Msil, вам необходимо:
1. Завершить следующие процессы и удалить соответствующие файлы:
Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления Trojan.Msil для безопасного решения проблемы.
2. Удалите следующие папки:
3. Удалите следующие ключи и\или значения ключей реестра:
Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления Trojan.Msil для безопасного решения проблемы.
Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:
4. Сбросить настройки браузеров
Trojan.Msil иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию «Сбросить настройки браузеров» в «Инструментах» в программе Spyhunter Remediation Tool для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Trojan.Msil. Для сброса настроек браузеров вручную используйте данную инструкцию:
Для Internet Explorer
Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: «inetcpl.cpl».
Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: «inetcpl.cpl».
Выберите вкладку Дополнительно
Под Сброс параметров браузера Internet Explorer, кликните Сброс. И нажмите Сброс ещё раз в открывшемся окне.
Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.
После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Найдите папку установки Google Chrome по адресу: C:\Users\»имя пользователя»\AppData\Local\Google\Chrome\Application\User Data.
В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.
Запустите Google Chrome и будет создан новый файл Default.
Настройки Google Chrome сброшены
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Для Mozilla Firefox
В меню выберите Помощь > Информация для решения проблем.
Кликните кнопку Сбросить Firefox.
После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.
Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Как остановить HEUR:Проникновение Trojan.MSIL.Generic Trojan?
ЧАС:Trojan.MSIL.Generic Троянские пользователи ловушки без каких-либо явных признаков собственного присутствия. Как вы уже слышали, хакеры преследуют компьютеры в шахтную цифровую валюту с помощью зараженных компьютеров, их ресурсы и возможности, если быть более подробным. Именно поэтому они разрабатывают вредоносные приложения и распространять их по всему Интернету.
Однажды ЧАС:Trojan.MSIL.Generic Trojan здесь, быть готовым к последствиям своей деятельности. Киберпреступники практически будоражить рабочие станции, чтобы заразить их с помощью методов обмана. Троянская влияет на мощность процессора, поскольку она должна иметь возможность проводить несанкционированные действия. Эта компьютерная угроза может позволить пользователям сторонних получить удаленный доступ к системе без ведома пользователя.
Есть некоторые признаки, которые Вы можете принять во внимание, чтобы знать, является ли ваш компьютер страдает от этой компьютерной угрозы. ЧАС:Trojan.MSIL.Generic Trojan перегружает браузером и веб-страницы загружаются слишком долго. Если курсор часто не перемещается на экране, это также реакция на системных проблемах. Сканирование системы с анти-сканер вредоносных программ, чтобы знать наверняка, и тогда вы можете начать процесс удаления, если устройство действительно имеет это вредоносное ПО в системе.
Для того, чтобы иметь дело с HEUR:Trojan.MSIL.Generic Trojan и забыть о печальном сир своей деятельности, пытаться GridinSoft Anti-Malware инструмент в действии, и вы не будете иметь никаких больше проблем с подобными вредоносными программами. Система будет оставаться чистой все время. Руководство ниже, поможет вам сохранить систему в чистоте.
Скачать надежный инструмент для HEUR:удаление Trojan.MSIL.Generic:
Подробная инструкция о том, как удалить HEUR:Trojan.MSIL.Generic инфекция.
Профилактические советы для вашего ПК от быть с HEUR повторного заражения:Trojan.MSIL.Generic в будущем:
GridinSoft Anti-Malware предлагает отличное решение, которое может помочь предотвратить заражение вашей системы вредоносным программным обеспечением в будущем. Эта функция называется “On-run Protection”. По умолчанию, она отключена после установки программного обеспечения. Чтобы включить её, пожалуйста, нажмите на “Защищать (Protect)” и нажмите на кнопку “Начать (Start)“
Эта полезная функция может позволить людям предотвратить установку вредоносного программного обеспечения. Это означает, когда вы будете пытаться установить некоторые подозрительные приложения, «On-run Protection» будет блокировать эту попытку установки. ПРИМЕЧАНИЕ! Если пользователи хотят, чтобы потенциально опасные программы были установлены, Кнопка они могут выбрать «Игнорировать всегда». В случае, если вы хотите заблокировать вредоносную программу, вы должны выбрать «Блокировать всегда (Block always)».
Как удалить Trojan.MSIL.Agent из вашей системы полностью
Около Trojan.MSIL.Agent
Trojan.MSIL.Agent — опасная инфекция, принадлежащая семейству троянских коней. Он использует злоумышленную иллюзию для загрузки угроз из Интернета без вашего согласия. После инфильтрации он изменяет параметры вашей домашней страницы, новой вкладки, поисковой системы и настроек браузера по умолчанию и т. Д., После чего перенаправление браузера на вредоносные сайты, ссылки и страницы. Он покажет вам бесполезные и раздражающие объявления, всплывающие окна, предложения и т. Д. На вашем дисплее и испортит ваш сеанс серфинга.
Его присутствие повлияет на бесперебойную работу вашего устройства и ухудшает производительность вашего устройства. Он заблокирует вашу систему безопасности, антивирусную программу и защиту брандмауэра. Он также блокирует использование настоящих приложений, таких как MS Office, панель управления, панель задач, Adobe Photoshop и т. Д. Эта неприятная программа поедает некоторые ресурсы вашего устройства и увеличивает задачу вашего процессора. Это может повредить ваш важный файл, приложения; документы и т. д. и сделать их совершенно бесполезными.
Еще одна причина, по которой вам опасно, состоит в том, что она собирает ваши личные данные, IP-адрес, географическое местоположение, нажатия клавиш, пароли, историю просмотров и другие детали. Он может делиться этими деталями с хакерами или сторонними сайтами. Таким образом, это также является серьезной проблемой для вашей конфиденциальности и безопасности в Интернете. Следовательно, когда вы обнаружили эту угрозу внутри вашей системы, тогда быстро ее удалите.
Признаки, что ваше устройство заражено Trojan.MSIL.Agent
Экспертное заключение: пользователю рекомендуется информировать об этих онлайн-угрозах и мошенничестве. Будьте осторожны во время онлайн-сессии. Избегайте посещать любые вредоносные сайты, страницы или ссылки. Никогда не нажимайте на какой-либо рискованный и незнакомый контент, файл, приложение и т. Д. Установите антивирусную или антивирусную программу для обеспечения безопасности и конфиденциальности в Интернете. Внимательно прочитайте инструкцию перед установкой любого приложения, программы или файла.
Нужна помощь: — Если вы все еще в замешательстве об удалении Trojan.MSIL.Agent, то вы можете связаться с нами по комментариям или по электронной почте по адресу [ support@malware-killers.com ]
Можно ли удалить Trojan.MSIL.Agent с компьютера?
Процесс 1: с помощью инструмента автоматического удаления [ лучше всего и рекомендуется каждым экспертом по вредоносным программам ]
Процесс 2: Нажмите здесь для шагов вручную [ Примечание : — нажав здесь, вы переадресовываетесь на другую страницу, где вы получаете все шаги руководства, используя эти шаги, которые вы можете удалить Trojan.MSIL.Agent с вашего компьютера ]
Чтобы внедрить / установить Trojan.MSIL.Agent в Windows PC, хакерские хакеры или сторонние пользователи используют многочисленные незаконные способы. В большинстве случаев они используют некоторые методы, такие как комплектация программного обеспечения, электронные письма-вложения, рекламная подделка и т. Д. За помощью этих трюков является простым мотивом установить эту угрозу « Trojan.MSIL.Agent » в вашей системе и создать незаконный доход. Кибер-преступники обладают полными знаниями для использования любых компьютерных уязвимостей, поэтому очень важно взять с собой Защиту.
Схема бесплатной загрузки: — Trojan.MSIL.Agent может также вводиться внутри проверенного ПК, получая преимущество от собственного органа, выгруженного установщиком. Большая часть пользователей исчезла и вводит эту вредоносную программу, просто просматривая через ненадежный домен. Когда они внедряют этот установщик текущего риска, для ПК это ясно, чтобы установить эту опасность.
Получение Обманчивого Программного пакета: — Он является выдающимся среди наиболее используемых методов, которые были связаны с вредоносным ПО. Предположительно, этот риск дополнительно использует этот метод, имея в виду конечную цель, которую можно получить в ПК. Эта болезнь будет сходиться с некоторыми бесплатными, условно-бесплатными и программными документами аутсайдера, поэтому в любой точке, которую они загрузили любой программой или пользователями, риск, следовательно, будет представлен на ПК вместе с этими записями.
Поразительные неизвестные всплывающие окна: — Еще одна ситуация может быть рассмотрена пользователем ПК, то есть в любой момент, когда пользователям нужно заниматься серфингом в Интернете, появится сообщение о взлете с FTP / HTTP, которое закрепит возможности всей программы и мощность пользователей для загрузки определенного компьютера. Фактически, эти документы могут быть испорчены через этих вредителей, поэтому нажатие на них, предположительно, завершает проверенный ПК как загрязненный.
P2P Sharing: — Это одна из наиболее распространенных стратегий, которая используется этой инфекцией для распространения на одно устройство на другое. Так как Trojan.MSIL.Agent теперь является одним из устройств, так как их владелец будет взаимодействовать с их гаджетами в другом для распределенного обмена реестром, другая система также может быть заражена этим риском.
Если каким-то образом этой угрозе удается попасть на ваш компьютер, очень важно удалить Trojan.MSIL.Agent из системы. Вы можете выбрать «Эксперты» и воспользоваться инструментом автоматического удаления, или вы можете попробовать его самостоятельно, используя ручной процесс, который мы уже говорили «Ручной процесс предназначен только для технических пользователей», или вы можете повредить свой ПК.
Процесс 1: с помощью инструмента автоматического удаления [лучше всего и рекомендуется каждым экспертом по вредоносным программам]
Процесс 2: нажмите здесь для ручных шагов [ Примечание : — нажав здесь, вы перенаправлены на другую страницу, где вы получаете все шаги вручную, используя эти шаги, которые вы можете удаление Trojan.MSIL.Agent с вашего компьютера]
Как вы можете понять, что конкретный компьютер заражен вирусом?
Преимущество использования средства Anti-Malware. Почему это лучше? И почему в Malware Expert рекомендуется исключить Trojan.MSIL.Agent?
Antimalware (вредоносное ПО) — это своего рода программная программа, предназначенная для избежания, распознавания и устранения вредоносного программного обеспечения для уникальных фигурных гаджетов и ИТ-инфраструктур. Программы защиты от вредоносных программ — это одна остановка, которая защищает от болезней, вызванных различными видами вредоносного ПО, включая инфекции, черви, трояны, руткиты, шпионские программы, клавиатурные шпионы, вымогательство и рекламное ПО.
Антивирус обычно управляет более опытным, более устойчивым вирусом, например троянами, инфекциями и червями. Анти-вредоносное ПО, дифференцируясь, обычно концентрируется на более текущих материалах, например, полиморфных вредоносных программ и вредоносных программ, передаваемых с помощью использования в течение дня. Антивирус защищает клиентов от ожидающих, неудивительных, но все еще небезопасных вредоносных программ. Anti-malware Защищает клиентов от самых последних, в настоящее время в дикой природе, и значительно более опасных опасностей. Подобным образом, враждебное вредоносное ПО обычно обновляет свои принципы быстрее, чем антивирус, подразумевая, что это лучшая гарантия против новых вредоносных программ, которые могут возникнуть во время серфинга в сети.
Если вы действительно раздражаетесь и хотите получить полное решение, не тратите время или не рискуете жизнью своего ПК, используя ручную процедуру. Просто clcik на Download linnk, и вы получили все шаги к isntall Anti-malware Program. и после установки программы Anti-Malware сделайте быстрое сканирование и удалите Trojan.MSIL.Agent с вашего ПК навсегда.
Явка провалена: выводим AgentTesla на чистую воду. Часть 2
Agent Tesla — это модульное программное обеспечение для шпионажа, распространяемое по модели malware-as-a-service под видом легального кейлоггер-продукта. Agent Tesla способен извлекать и передавать на сервер злоумышленникам учетные данные пользователя из браузеров, почтовых клиентов и клиентов FTP, регистрировать данные буфера обмена, захватывать экран устройства. На момент анализа официальный сайт разработчиков был недоступен.
Конфигурационный файл
| Описание | Значение |
| Флаг использования KeyLogger | true |
| Флаг использования ScreenLogger | false |
| Интервал отправки лога KeyLogger в минутах | 20 |
| Интервал отправки лога ScreenLogger в минутах | 20 |
| Флаг обработки клавиши Backspace. False – только логгирование. True – стирание предыдущей клавиши | false |
| Тип CnC. Варианты: smtp, webpanel, ftp | smtp |
| Флаг активации потока для завершения процессов из списка «%filter_list%» | false |
| Флаг отключения UAC | false |
| Флаг отключения менеджера задач | false |
| Флаг отключения CMD | false |
| Флаг отключения окна «Выполнить» | false |
| Флаг отключения инструмента просмотра реестра | false |
| Флаг отключения точек восстановления системы | true |
| Флаг отключения панели управления | false |
| Флаг отключения MSCONFIG | false |
| Флаг отключения контекстного меню в проводнике | false |
| Флаг закрепления в системе | false |
| Путь для копирования основного модуля при закреплении в системе | %startupfolder% \\%insfolder%\\%insname% |
| Флаг задания атрибутов «Системный» и «Скрытный» для закрепленного в системе основного модуля | false |
| Флаг выполнения рестарта при закреплении в системе | false |
| Флаг перемещения основного модуля во временную папку | false |
| Флаг выполнения обхода UAC | false |
| Формат даты и времени для записи в лог | yyyy-MM-dd HH:mm:ss |
| Флаг использования фильтра программ для KeyLogger | true |
| Тип фильтрации программ. 1 – имя программы ищется в заголовках окна 2 – имя программы ищется в имени процесса окна | 1 |
| Фильтр программ | «facebook», «twitter», «gmail», «instagram», «movie», «skype», «porn», «hack», «whatsapp», «discord» |
Закрепление основного модуля в системе
Если установлен соответствующий флаг, основной модуль копируется по пути, указанному в конфиге как путь для закрепления в системе.
В зависимости от значения из конфига файлу даются атрибуты «Скрытый» и «Системный».
Автозапуск обеспечивается двумя ветками реестра:
Взаимодействие с C&C
Вне зависимости от используемого метода сетевое взаимодействие начинается с получения внешнего IP жертвы с помощью ресурса checkip[.]amazonaws[.]com/.
Далее описаны методы сетевого взаимодействия, представленные в ВПО.
webpanel
Взаимодействие идет по HTTP-протоколу. ВПО выполняет POST-запрос со следующими заголовками:
Передаваемое сообщение имеет следующий вид:
Параметр type указывает на тип сообщения:
При передаче паролей сообщение имеет вид:
Взаимодействие идет по SMTP-протоколу. Передаваемое письмо имеет формат HTML. Параметр BODY имеет вид:
Алгоритмы шифрования
В данном кейсе используются следующие методы шифрования:
Метод 1
Этот метод используется для шифрования строк в основном модуле. Для шифрования применяется алгоритм AES.
На вход подается шестизначное десятичное число. Над ним производится следующее преобразование:
f(x) = (((x >> 2 — 31059) ^ 6380) — 1363) >> 3
Полученное значение является индексом для вшитого массива данных.
Каждый элемент массива — последовательность DWORD. При объединении DWORD получается массив байтов: первые 32 байта — ключ шифрования, далее следуют 16 байтов вектора инициализации, а оставшиеся байты — зашифрованные данные.
Метод 2
Используется алгоритм 3DES в режиме ECB с дополнением в целых байтах (PKCS7).
Ключ задается параметром %urlkey%, однако при шифровании используется его MD5-хеш.
Вредоносный функционал
Изучаемый сэмпл использует следующие программы для реализации своей вредоносной функции:
KeyLogger
При наличии соответствующего флага ВПО при помощи WinAPI-функции SetWindowsHookEx назначает свой обработчик для событий нажатия клавиш на клавиатуре. Функция обработчика начинается с получения заголовка активного окна.
Если установлен флаг выполнения фильтрации приложений, производится фильтрация в зависимости от заданного типа:
| Клавиша | Запись |
| Backspace | В зависимости от флага обработки клавиши Backspace: False – True – стирание предыдущей клавиши |
| CAPSLOCK | |
| ESC | |
| PageUp | |
| Down | ↓ |
| DELETE | |
| “ | » |
| F5 | |
| & | & |
| F10 | |
| TAB | |
| > | |
| Пробел | |
| F8 | |
| F12 | |
| F9 | |
| ALT+TAB | |
| END | |
| F4 | |
| F2 | |
| CTRL | |
| F6 | |
| Right | → |
| Up | ↑ |
| F1 | |
| Left | ← |
| PageDown | |
| Insert | |
| Win | |
| NumLock | |
| F11 | |
| F3 | |
| HOME | |
| ENTER | |
| ALT+F4 | |
| F7 | |
| Другая клавиша | Символ в верхнем или нижнем регистре в зависимости от положений клавиш CapsLock и Shift |
С заданной периодичностью собранный лог отправляется на сервер. Если передача оказалась неудачной, лог сохраняется в файл %TEMP%\\log.tmp в формате:
Когда сработает таймер, файл будет передан на сервер.
ScreenLogger
ClipboardLogger
Если установлен соответствующий флаг, в перехваченном тексте производятся замены согласно приведенной таблице.
После этого текст вставляется в лог:
PasswordStealer
| Браузеры | Почтовые клиенты | FTP клиенты |
| Chrome | Outlook | FileZilla |
| Firefox | Thunderbird | WS_FTP |
| IE/Edge | Foxmail | WinSCP |
| Safari | Opera Mail | CoreFTP |
| Opera Browser | IncrediMail | FTP Navigator |
| Yandex | Pocomail | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | TheBat | FTPCommander |
| Chromium | Postbox | |
| Torch | ClawsMail | |
| 7Star | ||
| Amigo | ||
| BraveSoftware | Jabber клиенты | VPN клиенты |
| CentBrowser | Psi/Psi+ | Open VPN |
| Chedot | ||
| CocCoc | ||
| Elements Browser | Менеджеры загрузки | |
| Epic Privacy Browser | Internet Download Manager | |
| Kometa | JDownloader | |
| Orbitum | ||
| Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Flock Browser | ||
| UC Browser | ||
| BlackHawk | ||
| CyberFox | ||
| K-Meleon | ||
| IceCat | ||
| IceDragon | ||
| PaleMoon | ||
| WaterFox | ||
| Falkon Browser |
Противодействие динамическому анализу
Неактивные возможности основного модуля
В ходе анализа основного модуля были выявлены функции, отвечающие за распространение по сети и отслеживание положения мыши.
В отдельном потоке отслеживаются события подключения съемных носителей. При подключении в корень файловой системы копируется ВПО с именем scr.exe, после чего выполняется поиск файлов с расширением lnk. Команда каждого lnk меняется на cmd.exe /c start scr.exe&start & exit.
Каждой директории в корне носителя дается атрибут «Скрытый» и создается файл с расширением lnk с именем скрытой директории и командой cmd.exe /c start scr.exe&explorer /root,\»%CD% \» & exit.
MouseTracker
Метод выполнения перехвата аналогичен используемому для клавиатуры. Этот функционал пока находится в разработке.
Файловая активность
| Путь | Описание |
| %Temp%\temp.tmp | Содержит счетчик попыток обхода UAC |
| %startupfolder%\%insfolder%\%insname% | Путь для закрепления в системе ВПО |
| %Temp%\tmpG\<Текущее время в милесекундах>.tmp | Путь для бэкапа основного модуля |
| %Temp%\log.tmp | Лог-файл |
| %AppData%\<Произвольная последовательность из 10 симоволов>.jpeg | Скриншоты |
| C:\Users\Public\<Произвольная последовательность из 10 симоволов>.vbs | Путь к vbs файлу, который загрузчик может использовать для закрпления в системе |
| %Temp%\<Произвольное имя папки>\<Имя файла> | Путь, используемый загрузчиком для закрепления в системе |
Профиль злоумышленника
Благодаря «зашитым» данным аутентификации нам удалось получить доступ к командному центру.
Это позволило нам выявить конечную почту злоумышленников:
Доменное имя командного центра зарегистрировано на почту sg***@gmail[.]com.
Заключение
В ходе детального анализа ВПО, использовавшегося в атаке, нам удалось установить его функциональные возможности и получить наиболее полный список индикаторов компрометации, актуальных для данного кейса. Понимание механизмов сетевого взаимодействия малвари позволило дать рекомендации по корректировке работы средств защиты информации, а также написать устойчивые IDS-правила.
Основная опасность AgentTesla как DataStealer в том, что для выполнения своих задач ему не требуется производить закрепление в системе или ожидать получения управляющей команды. Попадая на машину, он немедленно начинает сбор приватной информации и передает ее на CnC. Такое агрессивное поведение в некотором роде схоже с поведением шифровальщиков, с той лишь разницей, что вторым не требуется даже наличие сетевого соединения. При столкновении с этим семейством после очистки зараженной системы от самого ВПО следует в обязательном порядке произвести смену всех паролей, которые могли хотя бы теоретически оказаться сохраненными в одном из перечисленных выше приложений.
Забегая вперед, скажем, что злоумышленники, рассылающие AgentTesla, очень часто меняют первоначальный загрузчик. Это позволяет в момент атаки оставаться незамеченными для статических сканеров и эвристических анализаторов. А склонность этого семейства сразу же начинать свою деятельность делает бесполезными системные мониторы. Наилучший способ борьбы с AgentTesla — предварительный анализ в песочнице.
В третьей статье этого цикла мы рассмотрим другие загрузчики, используемые AgentTesla, а также изучим процесс их полуавтоматической распаковки. Не пропустите!