Geekly articles weekly

Quasar,Sobaken和Vermin:揭示正在进行的网络间谍活动的细节

网络罪犯使用Quasar,Sobaken和Vermin等远程访问工具监视乌克兰政府机构,并从其系统中窃取数据。 该网络集团于2018年1月的一份报告中首次提及,于2017年中引起了ESET的关注,今天继续开发其软件。

在此报告中,我们将揭示当前活动的详细信息,提供有关恶意软件的信息,并描述攻击者用来传播,瞄准和逃避检测的方法。


攻击者资料


该组似乎不具备出色的技术知识,也没有访问零日漏洞。 但是,她已经成功地应用了社会工程技术来传播恶意和秘密工作了很长时间。

我们一直跟踪其工作直到2015年10月,但是该小组有可能更早开始活动。

攻击者使用.NET恶意软件的三种修改形式:Quasar RAT(远程管理工具),Sobaken(来自Quasar的RAT的派生产品)和自定义RAT Vermin。 这些工具同时用于同一目标,它们部分共享基础架构并连接到相同的C&C服务器。 使用三个并行修改的可能解释是它们是彼此独立开发的。

受害者


恶意软件用于攻击乌克兰政府机构。 根据ESET遥测,记录了各个组织中数百名受害者和与该活动有关的数百个可执行文件。

时间表


图1按时间顺序显示了主要的竞选活动。


图1.广告活动时间表

经销


根据我们的遥测数据,攻击者将电子邮件用作三个RAT的主要分发渠道。 他们使用社会工程学说服受害者下载并运行恶意软件。

在大多数情况下,文件名用乌克兰语编写,并且与受害者的工作有关。 以下是此类文件的示例:

  • “关于组织保护乌克兰及其家庭成员的军事服务的指示”(“确保乌克兰军队及其家庭成员的军事人员安全的命令”)
  • “我将惩罚新草案,指定Viluchennya的修订版”(“撤回命令的新草案”)
  • “ Donning OVKZbіlshennyalimitu”(“ Don HVAC采购部。提高信用额度”)

除了社会工程学的基本技术(提请注意投资)之外,攻击者还使用三种技术方法。 这可能会进一步提高广告系列的效果。

方法1 :电子邮件应用程序使用Unicode 从右到左的覆盖字符来更改真正的扩展名,该字符会更改字符的读取方向。 实际上,这些是使用Word,Excel,PowerPoint或Acrobat Reader图标的可执行文件,以免引起怀疑。

文件名的示例:如图2所示,“为安全烹饪_ X> Cod Scr移动固体木柴”(“为加热而运输木柴”)对于不专心的用户来说看起来像是.DOCX文件。


图2.伪装成Word文档的可执行文件

方法2 :伪装为RAR自解压档案的电子邮件应用程序。

示例:一封电子邮件,其中包含应用程序“ Punishment_MOU_Dodatka_do_Instrucii_440_ost.rar”(“国防部命令,440号指令的附件”),如图3所示。RAR归档文件中有一个可执行文件“ Punishment_MOU_Dodatki_do_Instruciiii_440”。

大概是受害者运行了该文件,等待进一步解压缩自解压缩档案的内容,从而无意间启动了恶意的可执行文件。

方法#3 :Word文档+利用CVE-2017-0199。 当受害者打开特制的Word文档时,将应用此漏洞。 Word进程将HTTP请求发送到包含位于远程服务器上的恶意脚本的HTA文件。 然后,由mshta.exe启动恶意脚本。 关于此漏洞的第一个公开信息出现在2017年4月 ,Microsoft通过发布适用于所有Windows和Office版本的安全更新来关闭此漏洞。

根据ESET遥测,这些攻击者于2017年5月开始使用此方法。 攻击者使用hxxp://芯片调整lg [] ua /来传递HTA文件和最终的有效负载。


图3.伪装成自解压RAR存档的文件。 版本数据和版权表明这是伪造的

安装和持久性


对于该组使用的malvari的三种修改,安装过程相同。 放置程序将有效负载文件(Vermin,Quasar或Sobaken)转储到具有合法公司(通常是Adobe,Intel或Microsoft)名称的子文件夹中的%APPDATA%文件夹。 然后,如图4所示,他在调度程序中创建一个任务,以每10分钟运行一次组件以确保持久性。 某些版本还使用Windows控制面板快捷方式功能的方法,使从Windows资源管理器无法访问其文件夹。 在Windows资源管理器中单击时,这些文件夹将不会打开;而是会打开“所有任务”页面。


图4.每10分钟启动一个恶意组件的任务

范例:

C:\Users\Admin\AppData\Roaming\Microsoft\Proof\Settings.{ED7BA470-8E54-465E-825C- 99712043E01C}\TransactionBroker32.exe
C:\Users\Admin\AppData\Roaming\Adobe\SLStore\Setting.{ED7BA470-8E54-465E-825C- 99712043E01C}\AdobeSLService.exe

指定目标


攻击者使用多种技巧使恶意软件仅在目标计算机上起作用。 他们特别小心,避免使用自动分析系统和沙箱。

方法1 :在Windows中检查键盘布局
Malvar检查是否已安装俄文或乌克兰文键盘布局。 如果没有,她的工作将立即停止。

方法2 :验证IP地址
马尔瓦尔通过对合法服务的请求获得受感染计算机的IP地址
ipinfo.io/json。 如果未在乌克兰或俄罗斯找到IP地址,或者在多个选定的云服务提供商或防病毒软件开发商之一中注册了IP地址,则该工作将完成。 执行验证的代码显示在图5和6的反汇编结果中。


图5.代码检查受感染机器的IP地址的地理位置


图6.将IP地址与云服务提供商和防病毒提供商列表匹配的代码

方法3 :测试网络仿真
自动化分析系统通常使用诸如Fakenet-NG之类的工具,在该工具中DNS / HTTP通信成功并产生任何结果。 Malvari的作者试图通过生成随机站点名称/ URL来识别此类系统,并检查该URL是否存在连接(在图7中),就像在真实系统上一样。


图7.代码生成一个随机URL并开始下载

方法4 :验证特定的用户名
恶意软件不会使用自动恶意软件分析系统的典型用户名启动帐户,如图8所示。


图8.当前用户名与已知恶意软件分析系统列表的对帐

隐写术应用


自2017年中以来,攻击者一直在使用隐写术,在免费托管网站saveshot.net和ibb.co的图像中隐藏恶意组件。

隐写术是一门科学,可让您“全面查看”隐藏其他未分类信息中的数据。 在我们的案例中,恶意EXE文件被加密并隐藏在JPEG文件中,如图9所示。Malvar下载并解码JPEG,提取隐藏数据,从这些数据解密EXE文件并启动它。


图9.用于隐藏交付的恶意组件(调整大小并删除)的示例JPEG图像

解密过程非常复杂,可以描述如下:

1.从以二进制形式硬编码的URL下载JPEG文件。

2.通过计算八位密码的哈希值并将其与下载的二进制文件中的硬编码哈希值进行协调,来获得八位密码的蛮力。 此步骤占用大量CPU;在常规计算机上花费超过10分钟才能完成该步骤。 这很可能是另一种应对自动化恶意软件分析系统的措施。

3.处理JPEG文件并提取隐藏在其中的数据,从图10和11中的反汇编代码可以看出。该恶意软件使用的算法与JSteg中使用的算法非常相似,JSteg是最早,最简单的JPEG文件隐写算法之一。 它将数据隐藏在JPEG文件的离散余弦变换系数的LSB(最低有效位)中。 这种隐藏的数据通常不会影响肉眼可见的图像,但是专门的算法可以轻松地检测到它的存在。 但是,这种隐写术算法非常易于实现,这可能是马尔瓦里奇作者选择它的原因。

4.使用GZip提取和解压缩数据。

5.使用步骤2中获得的密码对AES上的解压缩数据进行解密。

6.解码base64解密的数据。

7.将EXE文件写入磁盘并执行。

结果,此威胁的作者放弃了使用隐写术的想法,而开始使用hxxp://芯片调整lg [] ua来传输未加密的可执行文件。


图10. JPEG解码器内的隐写代码


图11. JPEG解码器内的隐写代码

Malvari Mods


这些攻击者在攻击中使用了三种恶意变量。 下面,我们对每种功能进行简要概述,并集中于对特征的描述。

类星体


Quasar是在GitHub上可用的开源RAT。 我们看到了一些活动,其中该网络组织使用了Quasar RAT二进制文件。 第一个已知的活动从2015年10月持续到2016年4月。 下一届于2017年2月举行。 编译工件显示了PDB n:\projects\Viral\baybak_files_only\QRClient\QuasarRAT-master\Library\obj\ Release\Library.pdb的路径n:\projects\Viral\baybak_files_only\QRClient\QuasarRAT-master\Library\obj\ Release\Library.pdb

使用这些攻击者的命令服务器(mailukr.net)的Quasar RAT开展的另一项活动于2017年7月至9月实施。 攻击者使用了旧版本的Quasar RAT,称为“ xRAT 2.0 RELEASE3”。 Dropper中的编译器工件显示了PDB N:\shtorm\WinRARArchive\ obj\Release\WinRAR.pdb路径N:\shtorm\WinRARArchive\ obj\Release\WinRAR.pdb

ba


Sobaken是Quasar RAT的显着修改版本。 如果比较Quasar和Sobaken程序的结构,则可以看到很多共同点-见图12。

Sobaken的作者减少了该恶意软件的功能,因此可执行文件变得更小且更容易隐藏。 他们还添加了一些技巧来绕过沙箱和上述其他方面。


图12。 左侧和右侧的Quasar RAT v1.3,Sobaken的两个版本

害虫


Vermin是仅此网络组使用的自定义后门。 Palo Alto Networks 2018年1月报告首次记录了该恶意软件。 后门出现在2016年中期,并且仍在使用中。 就像Quasar和Sobaken一样,它是用.NET编写的。 为了使分析变得困难,使用商业.NET Reactor代码保护系统或开放源代码保护程序ConfuserEx对代码进行保护。

此外,与Sobaken一样,它使用Vitevic Assembly Embedder(免费软件)将必需的DLL嵌入到主可执行文件中,该文件可在Visual Studio Marketplace中获得。

功能性


Vermin是具有几个可选组件的功能齐全的后门。 在撰写本文时,最新的已知版本(Vermin 2.0)支持以下命令,这些命令的实质可以从名称中理解:
-StartCaptureScreen
-StopCaptureScreen
-ReadDirectory
-上传文件
-下载文件
-CancelUploadFile
-取消下载文件
-GetMonitors
-DeleteFiles
-ShellExec
-getprocesses
-KillProcess
-CheckIfProcessIsRunning
-CheckIfTaskIsRunning
-RunKeyLogger
-CreateFolder
-重命名文件夹
-DeleteFolder
-UpdateBot
-重命名文件
-ArchiveAndSplit
-StartAudioCapture
-StopAudioCapture
-SetMicVolume

大多数命令在主有效负载中实现。 通过攻击者在受害者计算机上加载的可选组件,仅提供少量命令和附加功能。 在可选组件中:
-录音
-键盘记录器
-密码盗窃
-从USB盗窃文件(USB文件窃取器)

录音工具(AudioManager)


完善的Vermin组件,可以记录受害者计算机麦克风的声音。 它接受三个Vermin命令:StartAudioCapture,StopAudioCapture和SetMicVolume。 接收到的数据使用Speex编解码器压缩,并以SOAP格式上传到Vermin C&C服务器。

键盘记录器(KeyboardHookLib)


Vermin中的Keylogger是一个简单的独立可执行文件,它拦截所有击键并将其以加密形式写入文件。 它还写入缓冲区的内容和活动窗口的名称。 键盘记录器本身无法与Vermin C&C服务器通信; 主后门用于传输收集的信息。

键盘记录器中PDB的路径确认与Vermin恶意软件的连接:
Z:\Projects\Vermin\KeyboardHookLib\obj\Release\AdobePrintLib.pdb

密码盗窃工具(PwdFetcher)


一个单独的Vermin密码盗窃组件用于从浏览器(Chrome,Opera)提取保存的密码。 该代码的主要部分似乎是从Habr一篇文章中复制的。 一些示例还包含用于从Firefox浏览器提取信息的代码,但似乎并未使用它。 如图13所示,该组件还包含类似于keylogger组件的PDB路径,该路径可确认与Vermin的连接。


图13.编译工件,使您可以将密码盗窃组件与Vermin相关联

USB文件盗窃工具(UsbGuard)


UsbGuard.exe是Sobaken和Vermin都使用的可选组件。 这是一个小的独立程序,它监视连接到计算机的USB驱动器,并复制与攻击者配置的过滤器相对应的所有文件。 然后,使用后门主模块传输被盗文件。 在该组件的样本中发现了许多通往PDB的途径,这些途径显然将其绑定到Vermin。

自2018年4月以来,文件盗窃组件已用作单独的工具。 它会复制文件,并立即将其上传到攻击者控制的服务器。

在分析的样本中,攻击者搜索了具有以下扩展名的文件:
-文件
-docx
-xls
-xlsx
-拉链
-rar
-7z
-厘米
-文字
-rtf
-xlsm
-pdf
-jpg
-jpeg
-tif
-odt
-ods

结论


在针对乌克兰高级目标的使用恶意软件进行的众多攻击中,该活动并未引起太多关注。 也许这是由于使用了开源代码。 但是,该小组已经着手开发自己的工具。

在过去三年中,使用了一系列恶意软件和感染机制,包括社会工程学和隐写术,这可能是由于攻击者尝试使用方法或在多个小组中进行工作所致。

琐碎技术的成功应用(例如,通过电子邮件发送RAR和EXE)强调了防范人为因素的重要性。

危害指标(IoC)


C&C服务器


荞麦面C&C


akamaicdn.ru
akamainet021.info
cdnakamai.ru
windowsupdate.kiev.ua
akamainet022.info
akamainet066.info
akamainet067.info
notifymail.ru
mailukr.net
188.227.16.73
212.116.121.46
206.54.179.160

类星体C&C


188.227.75.189
mailukr.net
cdnakamai.ru
notifymail.ru

害虫C&C


185.158.153.222
188.227.17.68
195.78.105.23
tech-adobe.dyndns.biz
notifymail.ru
akamainet023.info
mailukr.net
185.125.46.24
akamainet024.info
206.54.179.196

组件传输,数据泄露


chip-tuning.lg.ua
www.chip-tuning.lg.ua
olx.website
news24ua.info
rst.website
1ua.eu
novaposhta.website

SHA1


害虫


028EBDBEBAC7239B41A1F4CE8D2CC61B1E09983B
07E1AF6D3F7B42D2E26DF12A217DEBACEDB8B1B9
09457ACB28C754AA419AB6A7E8B1940201EF3FFE
0EEE92EC2723ED9623F84082DAD962778F4CF776
10128AB8770FBDECD81B8894208A760A3C266D78
131F99A2E18A358B60F09FD61EE312E74B02C07C
14F69C7BFAF1DF16E755CCF754017089238B0E7B
1509F85DE302BE83A47D5AFAD9BEE2542BA317FC
170CEE6523B6620124F52201D943D7D9CA7B95E5
191159F855A0E580290871C945245E3597A5F25C
1F12C32A41D82E978DE333CD4E93FDAA1396BE94
22B17966B597568DB46B94B253CD37CBCF561321
2C7332D8247376842BD1B1BD5298844307649C99
2E08BA5DF30C0718C1733A7836B5F4D98D84905E
2EDF808F8252A4CBCB92F47A0AEDC1AAAE79A777
360F54B33AC960EE29CA0557A28F6BB8417EF409
431FCE6A47D0A48A57F699AA084C9FF175A9D15F
45438834FDC5C690DA3BC1F60722BE86B871280D
4A8A8188E3A7A137651B24780DF37CB6F610CC19
4C1E4E136B7922F9E28D1B38E9760E28929E4F0B
5B6EA57FFC09593C3B65D903368EA5F7FAA2EB68
61D366939FE36861B2FECB38A4DFF6D86C925A00
6A72366D8AE09F72F0466FB59E8ED372F8B460D7
6FECA622B0FB282064F7DE42BA472A8EC908D0D6
70A772485C5ED330C6876FA901BA722CD44CA05E
70D97367A3DBD5D45482B6AF8C78C58B64D3F3B3
7803FD9753930522705F2B6B4E73622887892C28
7B11A84B18DC4B5F1F2826E7925F0B2DC1B936AE
889FD0BEB3197DDD6C88F5C40D6B8E4D74A892CE
9B6FBABFA2A77FA633F7A2EB352979D5C68CEBC6
A451291F17489E3A59F440A1B693D691B053C531
A53D77E55A06CF131D670339BACEC5AC0F0C6D66
A925D0AFB5D4F5FAC65543C993BE4172F1DBF329
B5F81C804E47B76C74C38DF03A5CBE8A4FE69A9A
B99DE55043099E9506B304660B8E1374787AB195
C00C104FC3E9F5977D11C67EF0C8C671D4DFC412
CA0296FA9F48E83EA3F26988401B3F4C4E655F7A
D4C6540E789BD3839D65E7EDA5CCA8832493649E
D5EDE1BBB9A12757E24BE283AFC8D746ADC4A0D4
DEFBFD98C74BEFF839EEB189F0F6C385AD6BA19B
ECF152EB6417A069573F2C7D9A35B9CC31EC8F56
EE2D40825C77C8DFEF67999F0C521919E6672A10
EF09AC6BA08A116F2C4080CBEE8CEF9523E21265
F414C49CF502D1B6CC46E08F3AC97D7846B30732

ba


087F77998004207BCCFFBF3030B6789648930FA5
0A4A2BCB3EF4E19973D5C4BE4E141B665CC0BFE0
1CEEF0813C0F096E6DA5461DC4B3BF901C500C56
293DBFF0230DAB3C4C21428F90C8EF06E9F35608
37E2947BFB5FC0839087C5BCE194EC193F824C85
39525CBCA591F2A10946BA62A56E4C3382CD4FC0
3CE0A18E9A8A2B95827008DBFF16364B6FEDF361
3E869038080DAE006FF6B20DF9B0CD9CB3A5E1A1
400830AB6DD46789B00D081ADF0F82623472FB13
43F382A330A454FF83F4F35FB571ECF587A4694A
4449FBE2B28A81B760B284880ADBED43462C2030
4712AF28168FD728A13EFD520E0665FFD076B6FB
4F504D7B35660943B206D6034752C686365EA58D
53239A62E09BB0B4E49B7954D533258FEF3342C4
540292753FA0CC4ACB49E5F11FEDEA4B7DEF11D8
5589E8018DC7F934A8FDAB62670C9140AF31CAB6
57BBA7D8786D3B0C5F93BC20AB505DF3F69C72D4
630FE59D60F6882A0B9E35ED606BF06AD4BA048C
63EA7C844D86882F491812813AAAD746738A6BE9
64121FA2FD2E38AC85A911A9F7ADD8CA1E1A9820
64DBA711FDD52FECF534CAC0C6FE8848FE36F196
650AB5E674FEF431EBC8CF98141506DDC80C5E64
6EF13E9D5B0B6FCB5EB2A7439AAD7B21EA7FB7AC
7177F64362A504F3DF8AA815CEF7136D5A819C04
9B91EC03A09C4CF6DBEC637B3551BDCA11F04A9B
A26764AFB1DAC34CAA2123F7BF3543D385147024
A55319D3DBD7B9A587F5156CF201C327C803FBC9
A841FF1EE379269F00261337A043448D3D72E6FD
AAB5BAAAE8A2577E1036769F0D349F553E4D129B
ACB989B3401780999474C5B1D7F9198ECA11549A
B65372E41E7761A68AEF87001BBB698D8D8D5EC6
BDB5E0B6CA0AA03E0BECA23B46A8420473091DFF
C4421084C19423D311A94D7BB6CB0169C44CBECD
C7E76993BB419DC755BD0C04255AB88E6C77B294
CF5238C467EBE2704528EED18AB4259BFDC604E3
D2334E161A1720E2DF048E4366150729B9395144
D35FB6E031720876482E728A40532703EF02A305
D82DF2903AA4BC5FD4274B5D1BFAF9E081771628
E4B3CBCA9A53B7B93177A270C2A76F981D157C34
E585AA2C5BFB9D42D2E58DB3833330D056713B9A
F4A485696FC871307C22906701CBBB3FA522499B
F5C75450108440D0BC9E7B210F072EF25A196D20

类星体


0A4915B81D9A9ACF4E19181DEEEBBE244430C16B
323160C88A254127D9ADB2848AE044AFFF376A4D
395166835495B418773C9690227779D592F94F71
3EE410DD50FC64F39DFF0C4EE8CC676F0F7D5A74
5B665152F6596D4412267F9C490878455BA235F9
5FE8558EB8A3C244BE2DA8BE750221B9A9EE8539
61CB5E535F0AC90A1F904EC9937298F50E2B4974
6A1CD05F07B1024287CEA400237E1EA9D2FE1678
7676AFF05A3550E5BBFF78CF4D10C9E094447D72
86165F464EC1912A43445D80559D65C165E2CF76
AB3CD05BE6B0BA8567B84D10EDE28ABF87E115AC
BFD7158E1C2F6BA525E24F85ED8CCF8EF40FD370
CFEBEFC92DCDF1687FD0BC1B50457EBDEA8672A2
D21B8514990B0CEAC5EAE687DEAA60B447139B9D

隐写术


04DA3E81684E4963ABEC4C0F6D56DF9F00D2EF26
3C618A0C4BF4D3D24C9F2A84D191FC296ED22FA4
746155881D5AB2635566399ACC89E43F6F3DA91A
CADBC40A4EFB10F4E9BD8F4EC3742FA8C37F4231
E22CE72406B14EF32A469569FBE77839B56F2D69

HTA文件


39F5B17471FD839CC6108266826A4AD8F6ECD6A3
751FBD034D63A5E0A3CA64F55045AE24E575384A
76433D1D13DF60EC0461ED6D8007A95C7A163FF9
89DF6A7551B00969E22DC1CAE7147447ACA10988
D6D148050F03F5B14681A1BBF457572B9401B664

录音工具


1F49946CA2CE51DC51615000BAA63F6C5A9961F1
98F62C2E6045D5A15D33C8383ADACF9232E5FBE3
E7C4A69EBD7B41A6AF914DD3D3F64E1AA1ABE9B4
F233A0F2997BB554D4F1A4B7AC77DAE4180850FA

键盘记录器


21921864D2F1AB2761C36031A2E1D2C00C9B304A
3C2D0615BEF6F88FED6E308D4F45B6133080C74F
91E8346910E0E6783ACFC4F2B9A745C81BD7573A

密码盗窃工具


2A5C9D4DAE5E53B2962FBE2B7FA8798A127BC9A6
9B1586766AF9885EF960F05F8606D1230B36AC15
A2F0D5AF81D93752CFF1CF1E8BB9E6CAEE6D1B5E
CE18467B33161E39C36FC6C5B52F68D49ABCFC2A

USB文件盗窃工具


050EB7D20EE8EF1E1DAEE2F421E5BF648FB645DF
069A919B3BC8070BB2D71D3E1AD9F7642D8ECF0F
0D265E0BDA9DF83815759ABCA64938EC0FF65733
0D7DF910D0FB7B100F084BFB8DFA0A9F2371171A
2FF3F5DA2960BE95E50B751680F450896AD1ED67
3200ECC7503F184F72AB9DA1DC3E1F8D43DDFD48
46D256EF277328E803D2B15CA7C188267059949D
524EE1B7269D02F725E55254A015200BB472463A
53A0EFD3D448DA8E32CFDDA5848312D3CF802B06
6FC150A9CAFA75813E7473C687935E7E4A5DCE24
70559245303F99630A27CB47B328C20C9666F0BB
7D8044A5CBEFE3B016F2132A5750C30BB647E599
8FD919D531A7A80615517E1AC13C2D0F050AF20D
9D22421DA9696B535C708178C72323F64D31FC80
BFD2DFA3D6AF31DF4B9CC2F6B31B239ADF1CECA1
C08A6222B59A187F3CF27A7BAE4CACFACC97DDEE
C2F6A65E14605828880927B9BA3C386507BD8161
C562006D2FA53B15052A4B80C94B86355CCA7427
CB43058D9EBB517832DF7058641AEDF6B303E736
CC8A9C28E884FDA0E1B3F6CEAB12805FEA17D3C1
D3CC27CA772E30C6260C5A3B6309D27F08A295CD
E7A2DE3776BA7D939711E620C7D6AB25946C9881
EE6EFA7A6A85A1B2FA6351787A1612F060086320
EF0ABB3A0CD1E65B33C0F109DD18F156FC0F0CDE
F63BE193C8A0FBB430F3B88CC8194D755BAD9CD1

ESET检测


ESET基于恶意软件相似性原理自动识别了大多数文件。 发现与广告系列中的大多数文件直接相关:
MSIL/Agent AWB
MSIL/Agent AZG
MSIL/Agent AZJ
MSIL/Agent AZX
MSIL/Agent BCH
MSIL/Agent BCV
MSIL/Agent BCY
MSIL/Agent BFT
MSIL/Agent BGB
MSIL/Agent BGC
MSIL/Agent BGE
MSIL/Agent BGM
MSIL/Agent BJU
MSIL/Agent SCM
MSIL/Spy Agent BBB
MSIL/Spy Agent BIF
MSIL/TrojanDownloader Agent DYV
MSIL/TrojanDownloader Small BBM
MSIL/TrojanDropper Agent DBE
MSIL/TrojanDropper Agent DJQ
MSIL/TrojanDropper Agent DJR

Source: https://habr.com/ru/post/zh-CN418165/

More articles:


All Articles