Часть 2: Анализ реестра

Переходим к исследованию реестра, который может рассказать многое о поведении вредоносного ПО. Несмотря на то, что в реестре не оказалось откровенно удивительных находок, там все же есть за что зацепиться.

Новые директории:
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
Новые значения:
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun → 0x00000001
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun → 0x00000001
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\0 → APInstaller.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\1 → gc3h3odt.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\2 → nanoav.free.setup.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\3 → SophosInstall.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\4 → ALYac25.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\5 → avast_free_antivirus_setup_online.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\6 → cispro_installer.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\7 → mcafee_trial_setup_433.0207.3919_key.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\8 → eset_internet_security_live_installer
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\9 → avg_antivirus_free_setup.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\10 → kaspersky4win202121.17.7.539ru_46715.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications\ToastEnabled → 0x00000000
- HKU\%USER%\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ Load → C:\Users\MwSpy\Libs\RuntimeBroker.exe
Изменённые значения:
- HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall → 0x00000000

Первое, что привлекает внимание — это создание новой директории DisallowRun.

Вместе с этим, вирус создает ключ DisallowRun со значением 1, активирующий политику запрета запуска определённых приложений. Также создается ключ NoRun со значением 1, который блокирует доступ к "Выполнить" в меню "Пуск".

После этих манипуляций вредонос добавляет установочные файлы известных антивирусов в директорию DisallowRun, что не позволяет пользователю устанавливать данные антивирусные программы.

Следующим шагом вирус создает значение ToastEnabled и устанавливает его на 0, что отключает push-уведомления. Хотя непонятно, зачем это нужно вредоносу, возможно, это делается для скрытия уведомлений от антивирусов или системных оповещений.

Далее создается ключ Load, отвечающий за автозагрузку вредоносного ПО. В этот ключ вирус помещает путь к своему исполняемому файлу в директории Libs.

Последнее изменение — это отключение фаервола путем изменения значения EnableFirewall с 1 на 0.

На этом этапе мы видим, как злоумышленник изощряется, чтобы его зловред закрепился в системе и блокировал любые попытки его удаления или обнаружения. Но зачем все эти меры предосторожности программе, которая позиционирует себя как легитимное ПО для удаленного доступа? Ой, что-то я уже спойлерю... Об этом мы узнаем позже.

PreviousЧасть 1: Анализ файлов NextЧасть 3: Загадочный PowerShell

Last updated 10 months ago

Часть 2: Анализ реестра

Новые директории:
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
Новые значения:
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun → 0x00000001
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun → 0x00000001
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\0 → APInstaller.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\1 → gc3h3odt.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\2 → nanoav.free.setup.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\3 → SophosInstall.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\4 → ALYac25.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\5 → avast_free_antivirus_setup_online.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\6 → cispro_installer.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\7 → mcafee_trial_setup_433.0207.3919_key.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\8 → eset_internet_security_live_installer
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\9 → avg_antivirus_free_setup.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\10 → kaspersky4win202121.17.7.539ru_46715.exe
- HKU\%USER%\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications\ToastEnabled → 0x00000000
- HKU\%USER%\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ Load → C:\Users\MwSpy\Libs\RuntimeBroker.exe
Изменённые значения:
- HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall → 0x00000000

Первое, что привлекает внимание — это создание новой директории DisallowRun.

Последнее изменение — это отключение фаервола путем изменения значения EnableFirewall с 1 на 0.

PreviousЧасть 1: Анализ файлов NextЧасть 3: Загадочный PowerShell

Last updated 10 months ago