Майнер Themida

-

Некоторые сайты распространяли вредоносное ПО, которое выдаёт себя за активатор Windows. По некоторым упоминаниям, оно также встречается в пиратских играх

Действия вируса

Вредоносное ПО запускается с правами администратора, затем:

  • Добавляется в каталоги SysWOW64 и ProgramData
  • Устанавливает файлам атрибуты «Скрытый» и «Системный»
  • Меняет владельцев на «TrustedInstaller» (сервисный аккаунт) и «Администраторы» (группа)

Кроме того, вирус Themida устанавливает RMS от компании TiktonIT, о чём свидетельствует файл version.txt в каталоге:
📂 C:\Windows\System32\SysWOW64\Webm\unsecap.exe

Файл содержит копирайт «TiktonIT all rights reserved» и упоминание компании Tox, что вызывает сомнения в его легитимности.

Функционал C:\Windows\System32\SysWOW64\Webm\unsecap.exe

  • 📌 Управление курсором
  • 🎥 Управление камерой
  • 🎤 Управление микрофоном
  • ⌨️ Управление клавиатурой
  • 🔌Удаленная командная строка (SSH)
  • 🔗 Установка RDP-соединения на порту 5665 
  • 👤 Создание учетной записи «John» с правами администратора

Функции Taskhostw

  • Отслеживает пути в Проводнике
  • Отслеживает пути в свойствах Диспетчера задач
  • Отслеживает открытые URL-адреса
  • Отслеживает поисковые запросы
  • Закрывает программы по ключевым словам
  • Блокирует запуск программ
  • Блокирует доступ к доменам через hosts
  • Блокирует доступ к папкам антивирусов
  • Скрывает вкладку «Безопасность» в проводнике.
  • Перезаписывает ветки реестра
  • Создаёт задачи на запуск файлов вируса, маскируя их под системные процессы (Windows Update, Wininet выдаёт себя за Winint)
  • Добавляет себя в исключения Windows Defender (процессы, пути).
  • Добавляет себя в автозагрузку как RealtekHD

Ключевые слова, по которым вирус реагирует:

Обновлённый список:

  • Taskhostw.exe
  • антивирус скачать
  • Dr.Web
  • Kaspersky
  • Kwrt
  • Avz
  • Malwarebytes
  • Cureit
  • 360 Total Security
  • Zilla
  • IOBit
  • Avira
  • Avast
  • AVG
  • Как удалить вирус
  • Unescap.exe
  • Как удалить майнер
  • C:\ProgramData
  • TaskHost
  • Winserv
  • Windows Task Host
  • Windows Task

Вредоносные файлы, создаваемые вирусом

🔴 Распаковывает подозрительные файлы:

  • Game.exe (SFX-архив + блокировщик)
  • AppProtocol.exe (назначение неизвестно)
  • AMD.exe (майнер криптовалюты Monero)
  • Svhost.exe (назначение неизвестно)
  • Unescape.exe (Удалённый доступ по RDP – RMS от TiktonIT)
  • 7zhncmd.exe (консольный 7zip)
  • IP.exe (отмечен Windows Defender как вредоносный)
  • Setup.exe (отмечен Windows Defender как вредоносный)
  • Update.exe (отмечен Windows Defender как вредоносный)
  • Winserv.exe (Удалённый доступ по RDP – RMS от TiktonIT)
  • Winlogon.bat и new.xml (правила AppLocker для блокировки антивирусов по издателям программ)
  • rdpwrap.dll (патч на многопользовательский RDP)
  • rdpwrap.ini (конфигурация патча)
  • MicrosoftHost.exe (Биткойн Майнер)

Файлы созданные вирусом:

  • 📂 C:\ProgramData\Windows Task\IP.exe
  • 📂 C:\ProgramData\Windows Task\AMD.exe
  • 📂 C:\ProgramData\Windows Task\taskhostw.exe
  • 📂 C:\ProgramData\Windows Task\AppProtocol.exe
  • 📂 C:\ProgramData\Windows Task\Svhost.exe
  • 📂 C:\ProgramData\Windows Task\Winserv.exe
  • 📂 C:\ProgramData\Windows Task\audiodg.exe
  • 📂 C:\ProgramData\Setup\Game.exe
  • 📂 C:\ProgramData\Setup\Update.exe
  • 📂 C:\ProgramData\Setup\Setup.exe
  • 📂 C:\ProgramData\install\Winlogon.bat
  • 📂 C:\ProgramData\install\new.xml
  • 📂 C:\Program Files\RDP Wrapper\rdpwrap.dll
  • 📂C:\Program Files\RDP Wrapper\rdpwrap.ini
  • 📂C:\Windows\System32\SysWOW64\Webm\unsecap.exe

    • Сетевое взаимодействие:

    91.184.248.192 (googlesearchproxy.one) - хостинг Smartape, чехия.

    Порты: 3333 (пул Bitcoin), 5665 (удалённый доступ)

    Доменны связанные с вирусом:

    kms-auto.name,windows-aktivators.com с большой вероятностью сайт принадлежит создателям вируса. 

    Популярные сообщения из этого блога

    Обнаружен вирус в KMS активаторах от Ratiborus

    -
    Изображение
    С 2016 года в сети наблюдается распространение вируса, связанного с KMS активаторами от Ratiborus. Этот вредоносный софт не затрагивает все версии активаторов, но представляет собой серьезную угрозу для безопасности пользователей. Ниже представлены ключевые аспекты, касающиеся этого вируса. Основные файлы вируса KMS Unpack tools.exe: Данный файл выполняет функции майнера, использующего ресурсы системы для добычи криптовалюты, и распаковщика, что облегчает загрузку других вредоносных компонентов. data0.bin (SFX архив): Содержит RDP Wrapper, позволяющий удаленный доступ к зараженному устройству, а также блокирует работу антивирусного программного обеспечения. data1.bin (SFX архив): Включает несколько подозрительных файлов: game.exe: Назначение неизвестно, но может использоваться для вредоносной активности. taskhostw.exe: Этот файл блокирует запуск различных программ, добавляет их в исключения Windows Defender и предотвращает доступ к антивирусным сайтам. Он также восстанавлива...
    Далее »

    Как раздать WIFI с VPN на Windows 10

    -
    Изображение
    Как раздать WIFI с VPN на Windows?  у многих возникал такой вопрос у меня тоже я нашёл способ как это сделать 1.Откройте параметры (WIN + I) потом "Cеть и Интернет" Выберите VPN потом "Добавить VPN-подключение" Задаем настройки нажимаем "Сохранить" Поддерживаемые протоколы: L2TP/IPSEC (С СЕРТИФИКАТОМ) |  L2TP/IPSEC (С ОБЩИМ КЛЮЧОМ) |  PPTP | SSTP |  IKE V2  Подключитесь и поставьте галочки как на скрине ниже  После в меню WIFI появиться пункт c вашим VPN сервером А в параметрах адаптера появиться ваш VPN Выберите "Мобильный хот-спот" WI-FI потом изменить Отключите энергосбережение чтоб сеть не отключалась постоянно ! Настройки раздачи Нажмите "Сохранить" и включите раздачу (сверху переключатель) Диапазон "Любой доступный" обязательно иначе некоторые устройства не смогут подключиться! ГОТОВО!
    Далее »