Часть 2: Анализ реестра

Переходим к исследованию реестра, который может рассказать многое о поведении вредоносного ПО. Несмотря на то, что в реестре не оказалось откровенно удивительных находок, там все же есть за что зацепиться.

---

• Новые директории:

  • HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

• Новые значения:

  • HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun → 0x00000001

  • HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun → 0x00000001

  • HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\0 → APInstaller.exe

  • HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\1 → gc3h3odt.exe

  • HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\2 → nanoav.free.setup.exe

  • HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\3 → SophosInstall.exe

  • HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\4 → ALYac25.exe

  • HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\5 → avast_free_antivirus_setup_online.exe

  • HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\6 → cispro_installer.exe

  • HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\7 → mcafee_trial_setup_433.0207.3919_key.exe

  • HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\8 → eset_internet_security_live_installer

  • HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\9 → avg_antivirus_free_setup.exe

  • HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\10 → kaspersky4win202121.17.7.539ru_46715.exe

  • HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications\ToastEnabled → 0x00000000

  • HKU\%USER%\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ Load → C:\Users\MwSpy\Libs\RuntimeBroker.exe

• Изменённые значения:

  • HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall → 0x00000000

---

Первое, что привлекает внимание — это создание новой директории DisallowRun.

---

Вместе с этим, вирус создает ключ DisallowRun со значением 1, активирующий политику запрета запуска определённых приложений. Также создается ключ NoRun со значением 1, который блокирует доступ к "Выполнить" в меню "Пуск".

---

После этих манипуляций вредонос добавляет установочные файлы известных антивирусов в директорию DisallowRun, что не позволяет пользователю устанавливать данные антивирусные программы.

---

Следующим шагом вирус создает значение ToastEnabled и устанавливает его на 0, что отключает push-уведомления. Хотя непонятно, зачем это нужно вредоносу, возможно, это делается для скрытия уведомлений от антивирусов или системных оповещений.

Пример push-уведомления.

---

Далее создается ключ Load, отвечающий за автозагрузку вредоносного ПО. В этот ключ вирус помещает путь к своему исполняемому файлу в директории Libs.

---

Последнее изменение — это отключение фаервола путем изменения значения EnableFirewall с 1 на 0.

---

На этом этапе мы видим, как злоумышленник изощряется, чтобы его зловред закрепился в системе и блокировал любые попытки его удаления или обнаружения. Но зачем все эти меры предосторожности программе, которая позиционирует себя как легитимное ПО для удаленного доступа? Ой, что-то я уже спойлерю... Об этом мы узнаем позже.