Вот так, вы сможете исправить ошибки, связанные с vkise.exe
Информация о файле vkise.exe
Важно: Некоторые вредоносные программы маскируют себя как vkise.exe, особенно, если они расположены в каталоге c:\windows или c:\windows\system32. Таким образом, вы должны проверить файл vkise.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.
Комментарий пользователя
Лучшие практики для исправления проблем с vkise
Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.
vkise сканер
Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.
Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.
Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.
В вашей системе запущено много процессов, которые потребляют ресурсы процессора и памяти. Некоторые из этих процессов, кажется, являются вредоносными файлами, атакующими ваш компьютер. Чтобы исправить критические ошибки vkise.exe,скачайте программу Asmwsoft PC Optimizer и установите ее на своем компьютере
1- Очистите мусорные файлы, чтобы исправить vkise.exe, которое перестало работать из-за ошибки.
2- Очистите реестр, чтобы исправить vkise.exe, которое перестало работать из-за ошибки.
3- Настройка Windows для исправления критических ошибок vkise.exe:
Всего голосов ( 182 ), 116 говорят, что не будут удалять, а 66 говорят, что удалят его с компьютера.
Как вы поступите с файлом vkise.exe?
Некоторые сообщения об ошибках, которые вы можете получить в связи с vkise.exe файлом
(vkise.exe) столкнулся с проблемой и должен быть закрыт. Просим прощения за неудобство.
(vkise.exe) перестал работать.
vkise.exe. Эта программа не отвечает.
(vkise.exe) — Ошибка приложения: the instruction at 0xXXXXXX referenced memory error, the memory could not be read. Нажмитие OK, чтобы завершить программу.
(vkise.exe) не является ошибкой действительного windows-приложения.
(vkise.exe) отсутствует или не обнаружен.
VKISE.EXE
Проверьте процессы, запущенные на вашем ПК, используя базу данных онлайн-безопасности. Можно использовать любой тип сканирования для проверки вашего ПК на вирусы, трояны, шпионские и другие вредоносные программы.
процессов:
Cookies help us deliver our services. By using our services, you agree to our use of cookies.
Последнее обновление: 07/07/2021[Среднее время чтения статьи: 4,7 мин.]
Разработка Internet Security Essentials компанией Comodo Group послужила толчком для создания последней версии файла vkise.exe. Он также известен как файл Internet Security Essentials (расширение EXE), который классифицируется как файл Win32 EXE (Исполняемое приложение).
Впервые vkise.exe был представлен 07/09/2019 в составе Comodo Internet Security 12.0.0.6870 для Windows 10. Последней версией файла для Comodo Antivirus 12.0.0.6914 является v1, 6, 472587, 185, выпущенная 10/21/2019. Файл vkise.exe включен в Comodo Antivirus 12.0.0.6914 и Comodo Internet Security 12.0.0.6870.
Продолжайте читать, чтобы найти загрузку правильной версии файла vkise.exe (бесплатно), подробные сведения о файле и порядок устранения неполадок, возникших с файлом EXE.
Рекомендуемая загрузка: исправить ошибки реестра в WinThruster, связанные с vkise.exe и (или) Comodo Antivirus.
Совместимость с Windows 10, 8, 7, Vista, XP и 2000
Средняя оценка пользователей
Обзор файла
Общие сведения ✻
Имя файла:
vkise.exe
Расширение файла:
расширение EXE
Описание:
Internet Security Essentials
Тип объектного файла:
Executable application
Файловая операционная система:
Win32
Тип MIME:
application/octet-stream
Пользовательский рейтинг популярности:
Сведения о разработчике и ПО
Разработчик ПО:
COMODO
Программа:
Internet Security Essentials
Авторское право:
2005-2019 COMODO. All rights reserved.
Сведения о файле
Набор символов:
Windows, Latin1
Код языка:
English (U.S.)
Флаги файлов:
(none)
Маска флагов файлов:
0x003f
Точка входа:
0x236350
Размер кода:
2569728
Информация о файле
Описание
Размер файла:
4.0 MB
Дата и время изменения файла:
2019:12:23 16:06:22+00:00
Тип файла:
Win32 EXE
Тип MIME:
application/octet-stream
Тип компьютера:
Intel 386 or later, and compatibles
Метка времени:
2019:01:29 08:28:04+00:00
Тип PE:
PE32
Версия компоновщика:
14.15
Размер кода:
2569728
Размер инициализированных данных:
1637376
Размер неинициализированных данных:
0
Точка входа:
0x236350
Версия ОС:
5.1
Версия образа:
0.0
Версия подсистемы:
5.1
Подсистема:
Windows GUI
Номер версии файла:
1.6.13835.185
Номер версии продукта:
1.6.13835.185
Маска флагов файлов:
0x003f
Флаги файлов:
(none)
Файловая ОС:
Win32
Тип объектного файла:
Executable application
Подтип файла:
0
Код языка:
English (U.S.)
Набор символов:
Windows, Latin1
Наименование компании:
COMODO
Описание файла:
Internet Security Essentials
Версия файла:
1, 6, 472587, 185
Авторское право:
2005-2019 COMODO. All rights reserved.
Название продукта:
Internet Security Essentials
Версия продукта:
1, 6, 472587, 185
✻ Фрагменты данных файлов предоставлены участником Exiftool (Phil Harvey) и распространяются под лицензией Perl Artistic.
Что такое сообщения об ошибках vkise.exe?
vkise.exe — ошибки выполнения
Ошибки выполнения — это ошибки Comodo Antivirus, возникающие во время «выполнения». Термин «выполнение» говорит сам за себя; имеется в виду, что данные ошибки EXE возникают в момент, когда происходит попытка загрузки файла vkise.exe — либо при запуске приложения Comodo Antivirus, либо, в некоторых случаях, во время его работы. Ошибки выполнения являются наиболее распространенной разновидностью ошибки EXE, которая встречается при использовании приложения Comodo Antivirus.
В большинстве случаев ошибки выполнения vkise.exe, возникающие во время работы программы, приводят к ненормальному завершению ее работы. Большинство сообщений об ошибках vkise.exe означают, что либо приложению Comodo Antivirus не удалось найти этот файл при запуске, либо файл поврежден, что приводит к преждевременному прерыванию процесса запуска. Как правило, Comodo Antivirus не сможет запускаться без разрешения этих ошибок.
К числу наиболее распространенных ошибок vkise.exe относятся:
Не удается запустить программу из-за отсутствия vkise.exe на компьютере. Попробуйте переустановить программу, чтобы устранить эту проблему.
Таким образом, крайне важно, чтобы антивирус постоянно поддерживался в актуальном состоянии и регулярно проводил сканирование системы.
Поиск причины ошибки vkise.exe является ключом к правильному разрешению таких ошибок. Несмотря на то что большинство этих ошибок EXE, влияющих на vkise.exe, происходят во время запуска, иногда ошибка выполнения возникает при использовании Internet Security Essentials. Причиной этого может быть недостаточное качество программного кода со стороны COMODO, конфликты с другими приложениями, сторонние плагины или поврежденное и устаревшее оборудование. Кроме того, эти типы ошибок vkise.exe могут возникать в тех случаях, если файл был случайно перемещен, удален или поврежден вредоносным программным обеспечением. Таким образом, крайне важно, чтобы антивирус постоянно поддерживался в актуальном состоянии и регулярно проводил сканирование системы.
Как исправить ошибки vkise.exe — 3-шаговое руководство (время выполнения:
Если вы столкнулись с одним из вышеуказанных сообщений об ошибке, выполните следующие действия по устранению неполадок, чтобы решить проблему vkise.exe. Эти шаги по устранению неполадок перечислены в рекомендуемом порядке выполнения.
Шаг 1. Восстановите компьютер до последней точки восстановления, «моментального снимка» или образа резервной копии, которые предшествуют появлению ошибки.
Чтобы начать восстановление системы (Windows XP, Vista, 7, 8 и 10):
Если на этапе 1 не удается устранить ошибку vkise.exe, перейдите к шагу 2 ниже.
Шаг 2. Если вы недавно установили приложение Comodo Antivirus (или схожее программное обеспечение), удалите его, затем попробуйте переустановить Comodo Antivirus.
Чтобы удалить программное обеспечение Comodo Antivirus, выполните следующие инструкции (Windows XP, Vista, 7, 8 и 10):
После полного удаления приложения следует перезагрузить ПК и заново установить Comodo Antivirus.
Если на этапе 2 также не удается устранить ошибку vkise.exe, перейдите к шагу 3 ниже.
Comodo Antivirus 12.0.0.6914
Шаг 3. Выполните обновление Windows.
Когда первые два шага не устранили проблему, целесообразно запустить Центр обновления Windows. Во многих случаях возникновение сообщений об ошибках vkise.exe может быть вызвано устаревшей операционной системой Windows. Чтобы запустить Центр обновления Windows, выполните следующие простые шаги:
Если Центр обновления Windows не смог устранить сообщение об ошибке vkise.exe, перейдите к следующему шагу. Обратите внимание, что этот последний шаг рекомендуется только для продвинутых пользователей ПК.
Если эти шаги не принесут результата: скачайте и замените файл vkise.exe (внимание: для опытных пользователей)
Если этот последний шаг оказался безрезультативным и ошибка по-прежнему не устранена, единственно возможным вариантом остается выполнение чистой установки Windows 10.
Как противостоять атакам с использованием вируса Svchost.exe
Когда дело доходит до вредоносного ПО, неспециалисту бывает не просто определить, является ли файл вредоносным или нет. Это относится, в частности, к svchost.exe: вирус, прикрепленный к этому файлу, очевидно вредоносный, хотя сам svchost.exe действительно является основным файлом Windows.
Svchost.exe фактически означает «сервисный хост», и это файл, используемый многими приложениями Windows. Несмотря на это, он часто ошибочно воспринимается как вирус, поскольку известно, что авторы вредоносных программ прикрепляют вредоносные файлы к svchost.exe для предотвращения их обнаружения. Кроме того, вирусописатели часто создают процессы с опечатками, например, «svhost.exe» или «svchosl.exe», чтобы избежать случайного обнаружения.
Удаление вирусов svchost.exe
Столкнувшись с любым типом заражения, например, с вирусом svchost.exe, необходимо действовать осторожно. Первым шагом является использование надежной утилиты для удаления вредоносных программ, чтобы обнаружить все компоненты вируса svchost.exe и удалить их. Помните, что, хотя такие утилиты и предназначены для обнаружения и удаления угроз, они ни в коем случае не заменяют защитные решения для обеспечения безопасности ваших устройств. Скорее, эти утилиты предназначены для устранения последствий уже случившегося заражения.
Проактивный подход
Хотя выбор защитного решения для вашего компьютера может показаться вам сложным, вы можете упростить этот процесс, загрузив бесплатный антивирус, чтобы протестировать различные продукты, представленные на рынке, и оценить, какой из них подходит именно вам.
Пока расследование не разлучит нас: малварь, которая может сидеть в сети компании годами
Недавно мы расследовали АРТ-атаку на одну российскую компанию и нашли много занятного софта. Сначала мы обнаружили продвинутый бэкдор PlugX, популярный у китайских группировок, АРТ-атаки которых обычно нацелены на похищение конфиденциальной информации, а не денег. Затем из скомпрометированной сети удалось вытащить несколько других схожих между собой бэкдоров (nccTrojan, dnsTrojan, dloTrojan) и даже общедоступных утилит.
Программы, используемые в этой преступной кампании, не отличаются сложностью, за исключением, может быть, PlugX. К тому же три из четырех вредоносов использовали при запуске давно известную технику DLL hijacking. Тем не менее, как показало наше исследование, даже при таких условиях злоумышленники могут годами оставаться в скомпрометированных сетях.
Мы решили изучить обнаруженный софт и поделиться своими наблюдениями.
PlugX
PlugX — сложная вредоносная программа. Мы постараемся рассказать о ее основных функциях, а более подробное описание малвари можно найти в отчете Dr. Web.
Запуск PlugX
PlugX, как правило, распространяется в виде самораспаковывающихся архивов, содержащих:
Такой набор характерен для техники DLL hijacking, при которой злоумышленник заменяет легитимную DLL на вредоносную. При этом малварь получает возможность работать от имени легитимного процесса и обходить таким образом средства защиты (рис. 1).
Рис. 1. Наглядное представление техники DLL hijacking
Рассмотрим в качестве примера один из экземпляров PlugX, характеристики которого приведены в табл. 1.
Вот что происходит при запуске невредоносного исполняемого файла (EXE) из пакета.
Сначала одна из импортируемых им библиотек (отдельная DLL) заменяется вредоносной. После загрузки в память процесса DLL открывает третий файл из пакета PlugX, который обходит средства защиты за счет отсутствия видимого исполняемого кода. Тем не менее он содержит шелл-код, после исполнения которого в памяти расшифровывается еще один дополнительный шелл-код. Он с помощью функции RtlDecompressBuffer() распаковывает PlugX (DLL). При открытии мы видим, что сигнатуры MZ и PE в исполняемом файле PlugX заменены на XV (рис. 2) — скорее всего, это тоже нужно, чтобы скрыть модуль от средств защиты.
Рис. 2. Исполняемый файл PlugX в распакованном виде с измененными сигнатурами MZ и PE
Наконец, запускается распакованная вредоносная библиотека, и управление передается ей.
В другом экземпляре PlugX мы обнаружили интересную особенность: малварь пыталась скрыть некоторые библиотечные вызовы от песочниц. При восстановлении импортов вместо адреса импортируемой функции сохранялся адрес тремя байтами ранее. Результат для функции SetFileAttributesW() виден на рис. 3.
Рис. 3. При получении адреса функции SetFileAttributesW() сохраняется адрес 0x7577D4F4
В табл. 2 приведены характеристики этого экземпляра.
б) Рис. 4. Фрагмент декомпилированного кода (а) и соответствующий ему фрагмент листинга перехваченных инструкций (б), где встречается вызов функции SetFileAttributesW()
Основная нагрузка PlugX не сохраняется в расшифрованном виде на диске.
Работа PlugX
После запуска вредоносная программа расшифровывает конфигурацию, которая содержит адреса серверов управления, а также информацию, необходимую для дальнейшего функционирования (например, способ закрепления в системе или путь, по которому копируются файлы малвари).
При этом данные для конфигурации могут браться из основного загрузчика или из отдельного файла в текущей рабочей директории. Из того же файла может быть подтянута новая конфигурация при ее обновлении в ходе взаимодействия с сервером управления.
То, как вредонос будет вести себя дальше, во многом определяет его конфигурация.
В зависимости от значения check_flag в конфигурации PlugX вредоносная программа может начать поиск в зараженной системе сетевого адаптера, MAC-адрес которого совпадает с адресом, заданным в самой малвари. В случае совпадения вредоносная программа завершит свое исполнение. Вероятно, таким образом она пытается обнаружить виртуальную среду.
Если значение mode_flag равно 0, вредоносная программа закрепляется в системе (подробнее в разделе «Закрепление в системе»). Затем она переходит к инициализации плагинов и взаимодействию с сервером управления (подробнее в разделе «Функциональность плагинов и исполнение команд»).
Если значение mode_flag равно 2, вредоносная программа сразу переходит к инициализации плагинов и взаимодействию с сервером управления.
Если значение mode_flag равно 3, вредоносная программа внедряет шелл-код в Internet Explorer. Передача управления вредоносному коду осуществляется с помощью функции CreateRemoteThread(). Также производится инициализация плагинов, и создается именованный пайп, через который вредоносная программа получает команды, предназначенные для исполнения плагинами.
Закрепление в системе
Если конфигурация PlugX предусматривает закрепление вредоноса в зараженной системе, то в ней прописан каталог, в который будут скопированы компоненты малвари.
Анализируемый образец выбирает одну из следующих директорий в зависимости от разрядности малвари:
В зависимости от persistence_flag PlugX может закрепляться:
Помним, что малварь может и не закрепляться вовсе.
В зависимости от конфигурации вредоносная программа может также попытаться создать процесс с повышенными привилегиями с последующим внедрением в него кода. В конфигурации могут быть перечислены до четырех целевых процессов.
Функциональность плагинов PlugX и исполняемые команды
Основная функциональность бэкдора реализована с помощью так называемых плагинов. Фрагмент функции, в которой производится инициализация плагинов, приведен на рис. 5.
Рис. 5. Фрагмент инициализации плагинов PlugX
PlugX может управлять процессами и службами, работать с файловой системой, вносить изменения в реестр. Он также имеет компоненты кейлоггера и скринлоггера и может получать удаленный доступ к зараженной системе — все это дает обширные возможности злоумышленникам в скомпрометированной сети.
Полный перечень функций вредоносной программы, доступной через плагины, приведен в табл. 3.
Табл. 3. Функциональность PlugX, доступная через плагины
Плагин
Команда
Функциональные возможности
DISK
Собрать информацию по всем дискам (тип и свободное пространство)
Перечислить файлы в директории
Перечислить файлы
Прочитать файл
Создать директорию и сохранить в нее файл
Создать директорию
Создать новый рабочий стол и запустить процесс
Копировать, переместить, переименовывать или удалить файл
Получить значение переменной окружения
KeyLogger
Отправить данные кейлоггера на сервер управления
Nethood
Перечислить сетевые ресурсы
Установить соединение с сетевым ресурсом
Netstat
Получить таблицу TCP
Получить таблицу UDP
Установить состояние TCP
Option
Заблокировать экран компьютера
Отключить компьютер (принудительно)
Перезагрузить компьютер
Отключить компьютер (безопасно)
Показать окно с сообщением
PortMap
Возможно, запустить маппинг портов
Process
Получить информацию о процессах
Получить информацию о процессе и модулях
Завершить процесс
Regedit
Перечислить подразделы ключа реестра
Создать ключ реестра
Удалить ключ реестра
Скопировать ключ реестра
Перечислить значения ключа реестра
Задать значение ключа реестра
Удалить значение из ключа реестра
Получить значение из ключа реестра
Screen
Использовать удаленный рабочий стол
Сделать скриншот
Найти скриншоты в системе
Service
Получить информацию о сервисах в системе
Изменить конфигурацию сервиса
Запустить сервис
Управлять сервисом
Удалить сервис
Shell
Запустить cmd-шелл
SQL
Получить список баз данных
Получить список описаний драйверов
Выполнить SQL-команду
Telnet
Настроить Telnet
Фрагмент функции обработки команд, полученных от сервера управления приведена на рис. 6.
Рис. 6. Команды сервера управления, которые получает PlugX
Описание команд приведено в табл. 4.
Табл. 4. Команды сервера управления, которые получает PlugX
Команда
Описание
0x1
Отправить на сервер управления данные о зараженной системе: — имя компьютера; — имя пользователя; — информация о CPU; — текущее использование памяти системой; — информация об операционной системе; — системные дата и время; — системная информация; — язык системы
0x5
Самоудалиться (удалить службу, очистить реестр)
0x3
Передать команды плагинам со сменой протокола взаимодействия
0x6
Отправить текущую конфигурацию PlugX на сервер управления
0x7
Получить с сервера управления новую конфигурацию и обновить текущую
0x8
Отправить список процессов с внедренным шелл-кодом
default
Передать команды плагинам
nccTrojan
Один из обнаруженных нами бэкдоров найден в отчете VIRUS BULLETIN и назван авторами nccTrojan по константному значению в коде основного пейлоада. Характеристики попавшегося нам образца малвари приведены в табл. 5.
nccTrojan расшифровывает конфигурацию, хранящуюся по определенному смещению в оверлее. Конфигурация зашифрована с помощью алгоритма AES-CFB-256, он же используется для шифрования взаимодействия с сервером управления. Пары «ключ шифрования + вектор инициализации» захардкоржены и различны для шифрования конфигурации и взаимодействия с сервером управления.
Расшифрованная конфигурация содержит информацию о сервере управления и выглядит следующим образом:
Если соединение установлено, то на сервер управления отправляется следующая информация:
При этом из собранных данных формируется строка, которая дальше зашифровывается и отправляется на сервер управления. Формат создаваемой строки:
Далее вредоносная программа переходит к взаимодействию с сервером управления и может исполнять команды, приведенные в табл. 6.
Табл. 6. Команды, исполняемые nccTrojan
Команда
Назначение
0x2
Запустить сmd-шелл
0x3
Выполнить команду через cmd-шелл
0x4
Записать данные в файл
0x5
Получить информацию о дисках C-Z (тип, свободный объем памяти)
0x6
Получить информацию о файлах
0x8
Запустить процесс
0xA
Удалить файл или директорию
0xC
Прочитать файл
0xF
Проверить наличие файла
0x11
Сохранить файл
0x13
Получить список запущенных процессов
0x15
Завершить процесс
0x17
Скопировать файл
0x1A
Переместить файл
0x1D
Запустить cmd-шелл с правами пользователя
dnsTrojan
Следующий бэкдор мы обнаружили впервые: на момент расследования мы не нашли упоминаний о нем в отчетах других экспертов. Его отличительная особенность — общение с сервером управления через DNS. В остальном по своей функциональности вредоносная программа схожа с бэкдором nccTrojan. Чтобы сохранить единообразие в названиях найденной малвари, назвали ее dnsTrojan.
После запуска вредоносная программа извлекает из ресурсов, распаковывает и сохраняет в рабочей директории два файла:
Работа dnsTrojan
Все свои действия вредоносная программа логирует в файл %ProgramData%\logD.dat, при этом записанные данные похожи на отладочную информацию для злоумышленников (рис. 7).
Рис. 7. Фрагмент файла logD.dat
Взаимодействие с сервером управления осуществляется с использованием DNS-туннелирования. Данные передаются серверу управления в виде DNS-запроса TXT-записи в зашифрованном виде.
Сразу после запуска на сервер управления отправляются следующие данные:
Из них формируется сообщение вида 8SDXCAXRZDJ;O0V2m0SImxhY;6.1.1;1;00-13-d2-e3-d6-2e;2020113052831619.
Все передаваемые на сервер управления данные преобразуются следующим образом:
При формировании домена, для которого запрашивается TXT-запись, после каждого 64-го символа ставится точка. Запросы, отправляемые вредоносной программой, можно увидеть на рис. 8.
В ответ на запрос, отправленный на предыдущем шаге из TXT-записей, dnsTrojan получает команды сервера и может исполнить их (табл. 8).
Команда
Назначение
0x1
Получить онлайн-данные
0x2
Запустить сmd-шелл
0x3
Выполнить команду через cmd-шелл
0x4
Получить информацию о дисках C–Z (тип, свободный объем памяти) или файлах
0x6
Прочитать файл
0x7
Скопировать файл
0x8
Удалить файл
0x9
Проверить наличие файла
0xA
Сохранить файл
0xB
Установить время бездействия программы (в минутах)
0xD
Самоудалиться (очистить реестр)
dloTrojan
dloTrojan — еще одна обнаруженная в процессе расследования вредоносная программа, которую мы классифицировали как бэкдор. Эта малварь не относится ни к одному из известных семейств вредоносов.
Характеристики файлов исследуемого нами образца приведены в табл. 9.
Итак, вредоносная программа dloTrojan состоит из двух компонентов:
После запуска исполняемого EXE-файла подгружается код вредоносной DLL. При этом библиотека проверяет имя процесса, в который она загружена, и оно должно соответствовать имени ChromeFrameHelperSrv.exe. В противном случае, вредоносный код завершит свое исполнение.
Далее библиотека расшифровывает вредоносный исполняемый файл, код которого внедряется в еще один запущенный процесс ChromeFrameHelperSrv.exe с использованием техники Process Hollowing.
Работа dloTrojan
Вредоносная программа пытается получить данные значения с именем TID из одного из двух ключей реестра (это зависит от имеющихся привилегий в системе):
Если же значение в реестре отсутствует, создается один из указанных ключей реестра. В параметре TID прописывается строка из 16 произвольных символов, которую в дальнейшем можно рассматривать как ID зараженной системы.
Строки во вредоносной программе зашифрованы методом простого сложения по модулю двух с одним байтом (отличается для различных строк).
Затем малварь расшифровывает адрес сервера управления. В зависимости от конфигурации вредоносная программа может иметь несколько адресов, в текущей конфигурации адрес сервера управления один.
Теперь dloTrojan устанавливает соединение с сервером управления. Если подключиться к серверу не удалось, малварь пытается найти настроенные прокси-серверы одним из способов:
Далее на сервер управления отправляется следующая информация о зараженной системе:
Данные передаются на сервер управления в зашифрованном виде.
В конце концов вредоносная программа получает возможность исполнять команды сервера управления: запускать cmd-шелл, создавать и удалять файлы, собирать информацию о дисках.
Перечень возможных команд приведен в табл. 10.
Табл. 10. Команды, исполняемые dloTrojan
Команда
Назначение
0x1
Получить количество миллисекунд, прошедших с момента запуска системы
0x2
Запустить сmd-шелл
0x3
Выполнить команду через cmd-шелл
0x4
Закрыть cmd-шелл
0x5
Проверить существование файла. Если файла нет, создать его
0x6
Создать файл
0x7
Получить данные файла (размер, временные метки)
0x8
Прочитать файл
0x9
Получить информацию о дисках C–Z (тип, объем свободной памяти)
0xA
Перечислить файлы
0xB
Удалить файл
0xC
Переместить файл
0xD
Запустить процесс
0xE
Сделать скриншот
0xF
Перечислить сервисы
0x10
Запустить сервис
0x11
Перечислить процессы и модули
0x12
Завершить процесс, затем перечислить процессы и модули
0x13
Закрыть сокет
И еще несколько программ, которые мы раскопали в ходе расследования
Вернемся к общедоступным утилитам, найденным на зараженных системах. С их помощью можно залезть в систему, утащить конфиденциальные данные и выполнить другие вредоносные действия. Ловите краткое описание каждой.
GetPassword
GetPassword предназначена для получения паролей из зараженной системы. Раньше исходный код утилиты лежал в репозитории MimikatzLite, но сейчас его почему-то удалили. Можем только поделиться скриншотом на рис. 9.
Рис. 9. Скриншот работы утилиты GetPassword
Quarks PwDump
Еще одна утилита для извлечения паролей из ОС Windows.
Исходный код можно найти в репозитории 0daytool-quarkspwdump. Скриншот утилиты приведен на рис. 10.
Рис. 10. Скриншот работы утилиты Quarks PwDump
wpmd v 2.3 (beta)
wpmd (windows password and masterkey decrypt) также предназначена для получения паролей в ОС Windows. Увы, источник мы не нашли, поэтому можем только показать скриншот (рис. 11).
Рис. 11. Скриншот работы утилиты wpmd v 2.3 (beta)
os.exe
os.exe позволяет определить версию ОС Windows (рис. 12). Источник тоже не найден 🙁
Рис. 12. Скриншот работы утилиты os.exe
nbtscan 1.0.35
nbtscan — утилита командной строки, предназначенная для сканирования открытых серверов имен NETBIOS в локальной или удаленной TCP/IP-сети. Она обеспечивает поиск открытых общих ресурсов (рис. 13). Доступна на ресурсе Unixwiz.net.
Рис. 13. Скриншот работы утилиты nbtscan
Это расследование в очередной раз убедило нас, что даже заезженные и понятные техники способны доставить жертвам много неприятностей. Злоумышленники могут годами копаться в IT-инфраструктуре жертвы, которая и подозревать ничего не будет. Думаем, выводы вы сделаете сами 🙂
