IOCs

C&C

192.187.111.66:5566

95.214.9.95

Domain

ruisgood.ru

ftp.ftp0801.ru

gamesoxalic.com

ftp.ftp0930.host

js.down0116.info

js.mys2016.info

wmi.1217bye.host

js.5b6b7b.ru

up.mykings.pw

kriso.ru

f321y.com

down.f4321y.com

IP

199.168.100.74

173.247.239.186

174.128.235.243

223.25.247.152

167.88.180.175

139.5.177.10

173.247.239.186

185.239.227.82

URL

http[:]//ruisgood.ru/ups.dat

http[:]//ruisgood.ru/power.txt

http[:]//ruisgood.ru/1201.rar

http[:]//ruisgood.ru/uninstall.txt

http[:]//ruisgood.ru/max.rar

http[:]//ruisgood.ru/config2.json

http[:]//ruisgood.ru/s.txt

http[:]//ruisgood.ru/upx.exe

http[:]//ruisgood.ru/s.xsl

http[:]//ruisgood.ru/download2.txt

http[:]//ruisgood.ru/batpower.txt

http[:]//ruisgood.ru/ups.dat

http[:]//ruisgood.ru/download.txt

http[:]//ruisgood.ru/kill.txt

http[:]//ruisgood.ru/up.txt

http[:]//ruisgood.ru/wmi.txt

http[:]//ruisgood.ru/batpower.tx

http[:]//ruisgood.ru/up2.txt

http[:]//gamesoxalic.com/power.txt

http[:]//gamesoxalic.com/s.txt

ftp[:]//199.168.100.74/aa.exe

ftp[:]//199.168.100.74/1.dat

ftp[:]//ftp.ftp0801.ru/1.dat

ftp[:]//ftp.ftp0801.ru/aa.exe

ftp[:]//ftp.ftp0930.host/a1.exe

ftp[:]//ftp.ftp0930.host/s1.rar

http[:]//js.down0116.info:280/v1.sct

http[:]//174.128.235.243/wmi.txt

http[:]//174.128.235.243/upsupx2.exe

http[:]//174.128.235.243/u.exe

http[:]//199.168.100.74/20200809.rar

http[:]//199.168.100.74:8074/1201.rar

http[:]//173.247.239.186:9999/max.exe

http[:]//173.247.239.186:9999/u.exe

http[:]//185.239.227.82:8082/2.exe

http[:]//wmi.1217bye.host/S.ps1

http[:]//95.214.9.95/pld/cmd.txt

http[:]//223.25.247.152:8152/batpower.txt

http[:]//167.88.180.175:8175/kill.txt

http[:]//167.88.180.175:8175/uninstall.txt

http[:]//139.5.177.10:280/psa.jpg

http[:]//199.168.100.74/2.exe

http[:]//199.168.100.74:8074/2.exe

http[:]//173.247.239.186/2.exe

http[:]//185.239.227.82:8082/2.exe

http[:]//173.247.239.186:9999/2.exe

http[:]//js.5b6b7b.ru/v.sct

http[:]//js.5b6b7b.ru:280/v.sct

http[:]//up.mykings.pw/update.txt

http[:]//kriso.ru/java12.dat

http[:]//js.ftp0930.host/helloworld.msi

http[:]//f321y.com:8888/dhelper.dat

http[:]//down.f4321y.com:8888/kill.html

md5

20200809.rardce4ac18798ea897cdc9e09e06b178be
max.rarbc7fc83ce9762eb97dc28ed1b79a0a10
u.exed9c32681d65c18d9955f5db42154a0f3
ups.datd1f978c88023639d6325805eb562de8c
upsupx2.exeb5cd8af63e35db23eb1c6a4eb8244c45
address.txt83bdb3a6fb995788de262b22919524f1
cloud.txt6b9b70f4e0c8885d12169045e906d698
cmd.txt6def7a0c5707f24a912c79f6520ca86f
kill.txt1573ab993edc98decc09423fd82ec5ed
microf0129d85b17ee4d29ef52c63e0e548a4
power.txt5670f0839333e4b160be05177601b40c
uninstall.txt6092899216610fea5c65e416b34c1777
update.txt581a86fea2afeb9b9d6d04c9a8f0a5c1
wmi.txt6afc95f60630a588a7826608c70a60c8
wpd.jpgbbae338b0cac5a2d169b8c535f33bfa0
batpower.txt40160c782c2a41eed8d8eaf0c706050a
up.txt6c190a44db2118d9c07037d769e0a62d
ups.txtf41a8a69361fccc13344493c04a4f0d8
s.ps1966abd05b7ad1b0b89d2a846f8a5a8f2
testav.datd4f7a3f44ae3f21863b1440219388a5b
psa.jpg9cb1c1a78ce3efe57eef5f128b43710a

门罗币钱包:

4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka

参考链接:

https://www.freebuf.com/articles/193260.html

https://www.freebuf.com/articles/network/161286.html

https://blogs.blackberry.com/en/2019/09/pcshare-backdoor-attacks-targeting-windows-users-with-fakenarrator-malware

    内容分页 1 2
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。