паспорт.exe або чому варто бути обережнішим

Увага!

Вчора на двох держ. установах різного профілю був зафіксований новий семпл.

Додаткові сигнатури для рішень McAfee (Intel Security): Extra

*перейменувати в .dat і далі згідно інструкції

Канал доставки: електрона пошта, фішинг.

Формат: архів сканы.zip, зміст: паспорт.exe та прописка.jpg

Детальний аналіз з кількох sandbox`ів буде трохи згодом.

Поки що даю початкову картинку активності семпла:

  • при активації паспорт.exe >   winrar.exe
  • winrar.exe > %AppData%\*\ 448.tmp.exe
  • 448.tmp.exe > %AppData%\*\*.exe > inject explorer.exe

pasport.exe [MD5:3a862e46081b8e035f9c8a6b85aeaee2]
winrar.exe [MD5:429d404c65d86586e971d4a95885eac5]
448D.tmp.exe [MD5:7536ed5fcc4d8b241c224a9a027a533d]

Protocol  Type:  udp  

IP Address:  104.251.176.218  

IP Address:  164.132.15.27

Hostname:  acreditationflexmasterdoorfitch.ru
Imagepath:  c:\Windows\explorer.exe

win72win73win76win7-2win7-1

Tags: , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: